Debians sikkerhedsbulletin

DSA-1883-1 nagios2 -- manglende fornuftighedskontrol af inddata

Rapporteret den:

10. sep 2009

Berørte pakker:

Sårbar:

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 448371, Fejl 482445, Fejl 485439.
I Mitres CVE-ordbog: CVE-2007-5624, CVE-2007-5803, CVE-2008-1360.

Yderligere oplysninger:

Flere sårbarheder er fundet i nagios2, a system til overvågning og håndtering af værtsmaskiner, tjenester og netværk. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

Flere problemer med udførelse af skripter på tværs af websteder ved hjælp af forskellige angrebsvinkler, blev opdaget i CGI-skripterne, hvilket gjorde det muligt for angribere at indsprøjte vilkårlig HTML-kode. For at holde styr på de forskellige angrebsvinkler, er problemerne blevet tildelt CVE-2007-5624, CVE-2007-5803 og CVE-2008-1360.

I den gamle stabile distribution (etch), er disse problemer rettet i version 2.6-2+etch4.

Den stabile distribution (lenny) indeholder ikke nagios2, og nagios3 er ikke påvirket af disse problemer.

Distributionen testing (squeeze) og den ustabile distribution (sid) indeholder ikke nagios2, og nagios3 er ikke påvirket af disse problemer.

Vi anbefaler at du opgraderer dine nagios2-pakker.

Rettet i:

Debian GNU/Linux 4.0 (etch)

Kildekode:: http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch4.diff.gz; http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6.orig.tar.gz; http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch4.dsc
Arkitekturuafhængig komponent:: http://security.debian.org/pool/updates/main/n/nagios2/nagios2-doc_2.6-2+etch4_all.deb; http://security.debian.org/pool/updates/main/n/nagios2/nagios2-common_2.6-2+etch4_all.deb
Alpha:: http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch4_alpha.deb; http://security.debian.org/pool/updates/main/n/nagios2/nagios2-dbg_2.6-2+etch4_alpha.deb
AMD64:: http://security.debian.org/pool/updates/main/n/nagios2/nagios2-dbg_2.6-2+etch4_amd64.deb; http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch4_amd64.deb
ARM:: http://security.debian.org/pool/updates/main/n/nagios2/nagios2-dbg_2.6-2+etch4_arm.deb; http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch4_arm.deb
HP Precision:: http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch4_hppa.deb; http://security.debian.org/pool/updates/main/n/nagios2/nagios2-dbg_2.6-2+etch4_hppa.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/n/nagios2/nagios2-dbg_2.6-2+etch4_i386.deb; http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch4_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch4_ia64.deb; http://security.debian.org/pool/updates/main/n/nagios2/nagios2-dbg_2.6-2+etch4_ia64.deb
Big-endian MIPS:: http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch4_mips.deb; http://security.debian.org/pool/updates/main/n/nagios2/nagios2-dbg_2.6-2+etch4_mips.deb
Little-endian MIPS:: http://security.debian.org/pool/updates/main/n/nagios2/nagios2-dbg_2.6-2+etch4_mipsel.deb; http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch4_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch4_powerpc.deb; http://security.debian.org/pool/updates/main/n/nagios2/nagios2-dbg_2.6-2+etch4_powerpc.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch4_sparc.deb; http://security.debian.org/pool/updates/main/n/nagios2/nagios2-dbg_2.6-2+etch4_sparc.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.