Debians sikkerhedsbulletin

DSA-1418-1 cacti -- manglende kontrol af inddata

Rapporteret den:
2. dec 2007
Berørte pakker:
cacti
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 452085.
I Mitres CVE-ordbog: CVE-2007-6035.
Yderligere oplysninger:

Man har opdaget at Cacti, en værktøj til overvåge systemer og netværk, udførte utilstrækkelig fornuftighedskontrol af inddata, hvilket muliggjorde SQL-indsprøjtning.

I den gamle stabile distribution (sarge) er dette problem rettet i version 0.8.6c-7sarge5.

I den stabile distribution (etch) er dette problem rettet i version 0.8.6i-3.2.

I den ustabile distribution (sid) er dette problem rettet i version 0.8.7a-1.

Vi anbefaler at du opgraderer din cacti-pakke.

Rettet i:

Debian GNU/Linux 3.1 (oldstable)

Kildekode:
http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6c.orig.tar.gz
http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6c-7sarge5.diff.gz
http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6c-7sarge5.dsc
Arkitekturuafhængig komponent:
http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6c-7sarge5_all.deb

Debian GNU/Linux 4.0 (stable)

Kildekode:
http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6i.orig.tar.gz
http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6i-3.2.dsc
http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6i-3.2.diff.gz
Arkitekturuafhængig komponent:
http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6i-3.2_all.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.