Bulletin d'alerte Debian

DSA-2039-1 cacti -- Absence de vérification des entrées

Date du rapport :
23 avril 2010
Paquets concernés :
cacti
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 578909.
Plus de précisions :

Cacti, une interface à rrdtool pour superviser les systèmes et les services, manquait de vérification des entrées, permettant une attaque d'injection SQL.

Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 0.8.7b-2.1+lenny2.

Pour la distribution unstable (Sid), ce problème sera corrigé prochainement.

Nous vous recommandons de mettre à jour votre paquet cacti.

Corrigé dans :

Debian GNU/Linux 5.0 (lenny)

Source :
http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.7b-2.1+lenny2.diff.gz
http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.7b.orig.tar.gz
http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.7b-2.1+lenny2.dsc
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.7b-2.1+lenny2_all.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.