Aviso de seguridad de Debian
DSA-164-1 cacti -- ejecución de código arbitrario
- Fecha del informe:
- 10 de sep de 2002
- Paquetes afectados:
- cacti
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En el diccionario CVE de Mitre: CVE-2002-1477, CVE-2002-1478.
- Información adicional:
-
Se ha descubierto un problema en cacti, un interfaz para rrdtool basado en PHP para monitorizar sistemas y servicios. Esto podía llevar a cacti a ejecutar código arbitrario con el id de usuario del servidor web. Este problema, sin embargo, sólo existe para usuarios que ya tienen privilegios de administrador en el sistema cacti.
Este problema se ha corregido borrando todos los signos de dólar y barra invertida de la cadena del título en la versión 0.6.7-2.1 para la distribución estable actual (woody) y en la versión 0.6.8a-2 para la distribución inestable (sid). La distribución estable anterior (potato) no se ve afectada porque no contiene el paquete cacti.
Le recomendamos que actualice los paquetes cacti inmediatamente.
- Arreglado en:
-
Debian GNU/Linux 3.0 (woody)
- Fuentes:
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7-2.1.dsc
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7-2.1.diff.gz
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7.orig.tar.gz
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7-2.1.diff.gz
- Componentes independientes de la arquitectura:
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7-2.1_all.deb
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.