Säkerhetsbulletin från Debian

DSA-1883-1 nagios2 -- städar inte indata

Rapporterat den:
2009-09-10
Berörda paket:
nagios2
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 448371, Fel 482445, Fel 485439.
I Mitres CVE-förteckning: CVE-2007-5624, CVE-2007-5803, CVE-2008-1360.
Ytterligare information:

Flera sårbarheter har hittats i nagios2, ett system för övervakning och hantering av värdar/tjänster/nätverk. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

Flera serveröverskridande skriptproblem med hjälp av flera parametrar upptäcktes i CGI-skripten, som tillät angripare att injicera godtycklig HTML-kode. För att täcka de olika angreppsvektorerna, har dessa problem fått nummer CVE-2007-5624, CVE-2007-5803 och CVE-2008-1360.

För den gamla stabila utgåvan (Etch) har dessa problem rättats i version 2.6-2+etch4.

Den stabila utgåvan (Lenny) innehåller inte nagios2 och nagios3 påverkas inte av dessa problem.

Uttestningsutgåvan (squeeze) och den instabila utgåvan (Sid) innehåller inte nagios2 och nagios3 påverkas inte av dessa problem.

Vi rekommenderar att ni uppgraderar era nagios2-paket.

Rättat i:

Debian GNU/Linux 4.0 (etch)

Källkod:
http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch4.diff.gz
http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6.orig.tar.gz
http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch4.dsc
Arkitekturoberoende komponent:
http://security.debian.org/pool/updates/main/n/nagios2/nagios2-doc_2.6-2+etch4_all.deb
http://security.debian.org/pool/updates/main/n/nagios2/nagios2-common_2.6-2+etch4_all.deb
Alpha:
http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch4_alpha.deb
http://security.debian.org/pool/updates/main/n/nagios2/nagios2-dbg_2.6-2+etch4_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/n/nagios2/nagios2-dbg_2.6-2+etch4_amd64.deb
http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch4_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/n/nagios2/nagios2-dbg_2.6-2+etch4_arm.deb
http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch4_arm.deb
HP Precision:
http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch4_hppa.deb
http://security.debian.org/pool/updates/main/n/nagios2/nagios2-dbg_2.6-2+etch4_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/n/nagios2/nagios2-dbg_2.6-2+etch4_i386.deb
http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch4_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch4_ia64.deb
http://security.debian.org/pool/updates/main/n/nagios2/nagios2-dbg_2.6-2+etch4_ia64.deb
Big-endian MIPS:
http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch4_mips.deb
http://security.debian.org/pool/updates/main/n/nagios2/nagios2-dbg_2.6-2+etch4_mips.deb
Little-endian MIPS:
http://security.debian.org/pool/updates/main/n/nagios2/nagios2-dbg_2.6-2+etch4_mipsel.deb
http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch4_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch4_powerpc.deb
http://security.debian.org/pool/updates/main/n/nagios2/nagios2-dbg_2.6-2+etch4_powerpc.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch4_sparc.deb
http://security.debian.org/pool/updates/main/n/nagios2/nagios2-dbg_2.6-2+etch4_sparc.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.