Debians sikkerhedsbulletin

DSA-2539-1 zabbix -- SQL-indsprøjtning

Rapporteret den:
6. sep 2012
Berørte pakker:
zabbix
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 683273.
I Mitres CVE-ordbog: CVE-2012-3435.
Yderligere oplysninger:

Man opdagede, at Zabbix, en løsning til netværksovervågning, ikke på korrekt vis validerede brugerinddata, som indgår i en SQL-forespørgsel. Det kunne gøre det muligt for uautoriserede angribere, at udføre vilkårlige SQL-kommandoer (SQL-indsprøjtning) og muligvis forøge rettigheder.

I den stabile distribution (squeeze), er dette problem rettet i version 1:1.8.2-1squeeze4.

I distributionen testing (wheezy), vil dette problem snart blive rettet.

I den ustabile distribution (sid), er dette problem rettet i version 1:2.0.2+dfsg-1.

Vi anbefaler at du opgraderer dine zabbix-pakker.