Schnellnavigation überspringen

• Über Debian
• Nachrichten
• Debian besorgen
• Unterstützung
• Entwickler-Ecke
• Sitemap
• Suche

Debian-Sicherheitsankündigung

DSA-893-1 acidlab -- Fehlende Entschärfung der Eingabe

Datum des Berichts:

14. Nov 2005

Betroffene Pakete:

acidlab

Verwundbar:

Ja

Sicherheitsdatenbanken-Referenzen:

In der Debian-Fehlerdatenbank: Fehler 335998, Fehler 336788.
In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 15199.
In Mitres CVE-Verzeichnis: CVE-2005-3325.

Weitere Informationen:

Remco Verhoef entdeckte eine Verwundbarkeit in acidlab (Analysis Console for Intrusion Databases) und in acidbase (Basic Analysis and Security Engine), die von böswilligen Benutzern ausgenutzt werden kann, um Angriffe durch Einschleusen von SQL durchzuführen.

Die Betreuer von Analysis Console for Intrusion Databases (ACID) in Debian, wovon BASE eine Abspaltung ist, haben nach einem Sicherheits-Audit von ACID und BASE festgestellt, dass der gefundene Fehler nicht nur die Komponenten base_qry_main.php (in BASE) und acid_qry_main.php (in ACID) betrifft. Stattdessen konnte der Fehler auf Grund von ungenügender Eingabeüberprüfung und -filterung auch in anderen Komponenten der Konsolen gefunden werden.

Sämtliche Fehler, die auf SQL-Einschleusung und Site-übergreifendem Skripting beruhen, sind im Debian-Paket behoben. Dadurch werden alle entdeckten unterschiedlichen Angriffsvektoren unwirksam.

Für die alte Stable-Distribution (Woody) wurde dieses Problem in Version 0.9.6b20-2.1 behoben.

Für die Stable-Distribution (Sarge) wurde dieses Problem in Version 0.9.6b20-10.1 behoben.

Für die Unstable-Distribution (Sid) wurde dieses Problem in Version 0.9.6b20-13 und in Version 1.2.1-1 von acidbase behoben.

Wir empfehlen Ihnen, Ihr acidlab and acidbase-Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.0 (woody)

Quellcode:

http://security.debian.org/pool/updates/main/a/acidlab/acidlab_0.9.6b20-2.1.dsc

http://security.debian.org/pool/updates/main/a/acidlab/acidlab_0.9.6b20-2.1.diff.gz

http://security.debian.org/pool/updates/main/a/acidlab/acidlab_0.9.6b20.orig.tar.gz

Architektur-unabhängige Dateien:

http://security.debian.org/pool/updates/main/a/acidlab/acidlab_0.9.6b20-2.1_all.deb

Debian GNU/Linux 3.1 (sarge)

Quellcode:

http://security.debian.org/pool/updates/main/a/acidlab/acidlab_0.9.6b20-10.1.dsc

http://security.debian.org/pool/updates/main/a/acidlab/acidlab_0.9.6b20-10.1.diff.gz

http://security.debian.org/pool/updates/main/a/acidlab/acidlab_0.9.6b20.orig.tar.gz

Architektur-unabhängige Dateien:

http://security.debian.org/pool/updates/main/a/acidlab/acidlab-doc_0.9.6b20-10.1_all.deb

http://security.debian.org/pool/updates/main/a/acidlab/acidlab-mysql_0.9.6b20-10.1_all.deb

http://security.debian.org/pool/updates/main/a/acidlab/acidlab-pgsql_0.9.6b20-10.1_all.deb

http://security.debian.org/pool/updates/main/a/acidlab/acidlab_0.9.6b20-10.1_all.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.

Diese Seite gibt es auch in den folgenden Sprachen:

dansk English español français svenska

Wie stellt man die Standardsprache ein