Säkerhetsinformation / 2009 / Säkerhetsinformation -- DSA-1883-1 nagios2

Säkerhetsbulletin från Debian

DSA-1883-1 nagios2 -- städar inte indata

Rapporterat den:

2009-09-10

Berörda paket:

nagios2

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 448371, Fel 482445, Fel 485439.
I Mitres CVE-förteckning: CVE-2007-5624, CVE-2007-5803, CVE-2008-1360.

Ytterligare information:

Flera sårbarheter har hittats i nagios2, ett system för övervakning och hantering av värdar/tjänster/nätverk. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

Flera serveröverskridande skriptproblem med hjälp av flera parametrar upptäcktes i CGI-skripten, som tillät angripare att injicera godtycklig HTML-kode. För att täcka de olika angreppsvektorerna, har dessa problem fått nummer CVE-2007-5624, CVE-2007-5803 och CVE-2008-1360.

För den gamla stabila utgåvan (Etch) har dessa problem rättats i version 2.6-2+etch4.

Den stabila utgåvan (Lenny) innehåller inte nagios2 och nagios3 påverkas inte av dessa problem.

Uttestningsutgåvan (squeeze) och den instabila utgåvan (Sid) innehåller inte nagios2 och nagios3 påverkas inte av dessa problem.

Vi rekommenderar att ni uppgraderar era nagios2-paket.

Rättat i:

Debian GNU/Linux 4.0 (etch)

Källkod:

http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch4.diff.gz

http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6.orig.tar.gz

http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch4.dsc

Arkitekturoberoende komponent:

http://security.debian.org/pool/updates/main/n/nagios2/nagios2-doc_2.6-2+etch4_all.deb

http://security.debian.org/pool/updates/main/n/nagios2/nagios2-common_2.6-2+etch4_all.deb

Alpha:

http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch4_alpha.deb

http://security.debian.org/pool/updates/main/n/nagios2/nagios2-dbg_2.6-2+etch4_alpha.deb

AMD64:

http://security.debian.org/pool/updates/main/n/nagios2/nagios2-dbg_2.6-2+etch4_amd64.deb

http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch4_amd64.deb

ARM:

http://security.debian.org/pool/updates/main/n/nagios2/nagios2-dbg_2.6-2+etch4_arm.deb

http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch4_arm.deb

HP Precision:

http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch4_hppa.deb

http://security.debian.org/pool/updates/main/n/nagios2/nagios2-dbg_2.6-2+etch4_hppa.deb

Intel IA-32:

http://security.debian.org/pool/updates/main/n/nagios2/nagios2-dbg_2.6-2+etch4_i386.deb

http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch4_i386.deb

Intel IA-64:

http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch4_ia64.deb

http://security.debian.org/pool/updates/main/n/nagios2/nagios2-dbg_2.6-2+etch4_ia64.deb

Big-endian MIPS:

http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch4_mips.deb

http://security.debian.org/pool/updates/main/n/nagios2/nagios2-dbg_2.6-2+etch4_mips.deb

Little-endian MIPS:

http://security.debian.org/pool/updates/main/n/nagios2/nagios2-dbg_2.6-2+etch4_mipsel.deb

http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch4_mipsel.deb

PowerPC:

http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch4_powerpc.deb

http://security.debian.org/pool/updates/main/n/nagios2/nagios2-dbg_2.6-2+etch4_powerpc.deb

Sun Sparc:

http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch4_sparc.deb

http://security.debian.org/pool/updates/main/n/nagios2/nagios2-dbg_2.6-2+etch4_sparc.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.