Säkerhetsbulletin från Debian

DSA-1954-1 cacti -- otillräcklig städning av indata

Rapporterat den:
2009-12-16
Berörda paket:
cacti
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 429224.
I Mitres CVE-förteckning: CVE-2007-3112, CVE-2007-3113, CVE-2009-4032.
Ytterligare information:

Flera sårbarheter har upptäckts i cacti, ett skal till rrdtool för bevakning av system och tjänster. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

  • CVE-2007-3112, CVE-2007-3113

    Det upptäcktes att cacti är sårbar för en överbelastning med hjälp av parametrarna graph_height, graph_width, graph_start och graph_end. Detta problem påverkar endast cacti i den gamla stabila utgåvan (Etch).

  • CVE-2009-4032

    Det upptäcktes att cacti är sårbar för flera serveröverskridande skriptangrepp med hjälp av olika vektorer.

  • CVE-2009-4112

    Det har upptäckts att cacti tillåter autentiserade administratörsanvändare att få åtkomst till värdsystemet genom att exekvera godtyckliga kommandon med hjälp av Data Input Method för inställningen Linux - Get Memory Usage.

    Det finns för tillfället ingen rättelse till detta problem. Uppströms kommer implementera en vitlistningspolicy för att bara tillåta vissa säkra kommandon. För tillfället rekommenderar vi att sådan åtkomst bara ges till pålitliga användare och att valen Data Input och User Administration i övrigt är avaktiverade.

För den gamla stabila utgåvan (Etch) har dessa problem rättats i version 0.8.6i-3.6.

För den stabila utgåvan (Lenny) har detta problem rättats i version 0.8.7b-2.1+lenny1.

För uttestningsutgåvan (Squeeze) kommer detta problem att rättas inom kort.

För den instabila utgåvan (Sid) har detta problem rättats i version 0.8.7e-1.1.

Vi rekommenderar att ni uppgraderar era cacti-paket.

Rättat i:

Debian GNU/Linux 4.0 (etch)

Källkod:
http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6i.orig.tar.gz
http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6i-3.6.diff.gz
http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6i-3.6.dsc
Arkitekturoberoende komponent:
http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6i-3.6_all.deb

Debian GNU/Linux 5.0 (lenny)

Källkod:
http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.7b.orig.tar.gz
http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.7b-2.1+lenny1.diff.gz
http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.7b-2.1+lenny1.dsc
Arkitekturoberoende komponent:
http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.7b-2.1+lenny1_all.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.