Debian-Sicherheitsankündigung
DSA-164-1 cacti -- Willkürliche Code-Ausführung
- Datum des Berichts:
- 10. Sep 2002
- Betroffene Pakete:
- cacti
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In Mitres CVE-Verzeichnis: CVE-2002-1477, CVE-2002-1478.
- Weitere Informationen:
-
Ein Problem in cacti wurde entdeckt, einem PHP basierendem Frontend für rrdtool zur System- und Dienstüberwachung. Dies könnte dazu führen, dass cacti willkürlichen Programm-Code mit der Benutzer-ID des Webservers ausführt. Dieses Problem besteht jedoch nur für Benutzer, die bereits Administrationsrechte im cacti System besitzen.
Dieses Problem wurde durch das Löschen von Dollar und verkehrte Hochkomma aus der Titel-Zeichenkette in Version 0.6.7-2.1 für die aktuelle stable Distribution (Woody) und in Version 0.6.8a-2 für die unstable Distribution (Sid) behoben. Die alte stable Distribution (Potato) ist nicht davon betroffen, da sie das cacti-Paket nicht enthält.
Wir empfehlen Ihnen, Ihr cacti Paket unverzüglich zu aktualisieren.
- Behoben in:
-
Debian GNU/Linux 3.0 (woody)
- Quellcode:
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7-2.1.dsc
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7-2.1.diff.gz
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7.orig.tar.gz
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7-2.1.diff.gz
- Architektur-unabhängige Dateien:
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7-2.1_all.deb
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.