Remco Verhoef entdeckte eine Verwundbarkeit in acidlab (»Analysis Console for Intrusion Databases«) und in acidbase (»Basic Analysis and Security Engine«), die von böswilligen Benutzern ausgenutzt werden kann, um Angriffe durch Einschleusen von SQL durchzuführen.
Die Betreuer von »Analysis Console for Intrusion Databases« (ACID) in Debian, wovon BASE eine Abspaltung ist, haben nach einem Sicherheits-Audit von ACID und BASE festgestellt, dass der gefundene Fehler nicht nur die Komponenten base_qry_main.php (in BASE) und acid_qry_main.php (in ACID) betrifft. Stattdessen konnte der Fehler auf Grund von ungenügender Eingabeüberprüfung und -filterung auch in anderen Komponenten der Konsolen gefunden werden.
Sämtliche Fehler, die auf SQL-Einschleusung und Site-übergreifendem Skripting beruhen, sind im Debian-Paket behoben. Dadurch werden alle entdeckten unterschiedlichen Angriffsvektoren unwirksam.
Für die alte Stable-Distribution (Woody) wurde dieses Problem in Version 0.9.6b20-2.1 behoben.
Für die Stable-Distribution (Sarge) wurde dieses Problem in Version 0.9.6b20-10.1 behoben.
Für die Unstable-Distribution (Sid) wurde dieses Problem in Version 0.9.6b20-13 und in Version 1.2.1-1 von acidbase behoben.
Wir empfehlen Ihnen, Ihr acidlab and acidbase-Paket zu aktualisieren.
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.