Debians sikkerhedsbulletin

DSA-1883-1 nagios2 -- manglende fornuftighedskontrol af inddata

Rapporteret den:
10. sep 2009
Berørte pakker:
nagios2
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 448371, Fejl 482445, Fejl 485439.
I Mitres CVE-ordbog: CVE-2007-5624, CVE-2007-5803, CVE-2008-1360.
Yderligere oplysninger:

Flere sårbarheder er fundet i nagios2, a system til overvågning og håndtering af værtsmaskiner, tjenester og netværk. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

Flere problemer med udførelse af skripter på tværs af websteder ved hjælp af forskellige angrebsvinkler, blev opdaget i CGI-skripterne, hvilket gjorde det muligt for angribere at indsprøjte vilkårlig HTML-kode. For at holde styr på de forskellige angrebsvinkler, er problemerne blevet tildelt CVE-2007-5624, CVE-2007-5803 og CVE-2008-1360.

I den gamle stabile distribution (etch), er disse problemer rettet i version 2.6-2+etch4.

Den stabile distribution (lenny) indeholder ikke nagios2, og nagios3 er ikke påvirket af disse problemer.

Distributionen testing (squeeze) og den ustabile distribution (sid) indeholder ikke nagios2, og nagios3 er ikke påvirket af disse problemer.

Vi anbefaler at du opgraderer dine nagios2-pakker.

Rettet i:

Debian GNU/Linux 4.0 (etch)

Kildekode:
http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch4.diff.gz
http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6.orig.tar.gz
http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch4.dsc
Arkitekturuafhængig komponent:
http://security.debian.org/pool/updates/main/n/nagios2/nagios2-doc_2.6-2+etch4_all.deb
http://security.debian.org/pool/updates/main/n/nagios2/nagios2-common_2.6-2+etch4_all.deb
Alpha:
http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch4_alpha.deb
http://security.debian.org/pool/updates/main/n/nagios2/nagios2-dbg_2.6-2+etch4_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/n/nagios2/nagios2-dbg_2.6-2+etch4_amd64.deb
http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch4_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/n/nagios2/nagios2-dbg_2.6-2+etch4_arm.deb
http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch4_arm.deb
HP Precision:
http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch4_hppa.deb
http://security.debian.org/pool/updates/main/n/nagios2/nagios2-dbg_2.6-2+etch4_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/n/nagios2/nagios2-dbg_2.6-2+etch4_i386.deb
http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch4_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch4_ia64.deb
http://security.debian.org/pool/updates/main/n/nagios2/nagios2-dbg_2.6-2+etch4_ia64.deb
Big-endian MIPS:
http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch4_mips.deb
http://security.debian.org/pool/updates/main/n/nagios2/nagios2-dbg_2.6-2+etch4_mips.deb
Little-endian MIPS:
http://security.debian.org/pool/updates/main/n/nagios2/nagios2-dbg_2.6-2+etch4_mipsel.deb
http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch4_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch4_powerpc.deb
http://security.debian.org/pool/updates/main/n/nagios2/nagios2-dbg_2.6-2+etch4_powerpc.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch4_sparc.deb
http://security.debian.org/pool/updates/main/n/nagios2/nagios2-dbg_2.6-2+etch4_sparc.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.