Debians sikkerhedsbulletin

DSA-1954-1 cacti -- utilstrækkelig fornuftighedskontrol af inddata

Rapporteret den:
16. dec 2009
Berørte pakker:
cacti
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 429224.
I Mitres CVE-ordbog: CVE-2007-3112, CVE-2007-3113, CVE-2009-4032.
Yderligere oplysninger:

Flere sårbarheder er opdaget i cacti, en frontend til rrdtool til overvågning af systemer og services. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

  • CVE-2007-3112, CVE-2007-3113

    Man opdagede at cacti var sårbar over for et lammelsesangreb via parametrene graph_height, graph_width, graph_start og graph_end. Problemet påvirker kun den gamle stabile distributions (etch) version af cacti.

  • CVE-2009-4032

    Man opdagede at cacti var sårbar over for flere angreb i forbindelse med udførelse af skripter på tværs af websteder gennem forskellige angrebsvinkler.

  • CVE-2009-4112

    Man opdagede at cacti gjorde det muligt for autentificerede administratorbrugere, at opnå rettigheder på værtssystemet ved at udføre vilkårlige kommandoer gennem Data Input Method i indstillingen Linux - Get Memory Usage.

    På nuværende tidspunkt er der ingen rettelse af dette problem. Opstrømsudviklerne vil implementere en hvidlistningspolicy, som kun tillader sikre kommandoer. I øjeblikket anbefaler vi at en sådan adgang kun gives til brugere, man har tillid til, og at indstillingerne Data Input og User Administration ellers deaktiveres.

I den gamle stabile distribution (etch), er disse problemer rettet i version 0.8.6i-3.6.

I den stabile distribution (lenny), er dette problem rettet i version 0.8.7b-2.1+lenny1.

I distributionen testing (squeeze), vil dette problem snart blive rettet.

I den ustabile distribution (sid), er dette problem rettet i version 0.8.7e-1.1.

Vi anbefaler at du opgraderer dine cacti-pakker.

Rettet i:

Debian GNU/Linux 4.0 (etch)

Kildekode:
http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6i.orig.tar.gz
http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6i-3.6.diff.gz
http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6i-3.6.dsc
Arkitekturuafhængig komponent:
http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6i-3.6_all.deb

Debian GNU/Linux 5.0 (lenny)

Kildekode:
http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.7b.orig.tar.gz
http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.7b-2.1+lenny1.diff.gz
http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.7b-2.1+lenny1.dsc
Arkitekturuafhængig komponent:
http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.7b-2.1+lenny1_all.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.