Bulletin d'alerte Debian
DSA-164-1 cacti -- Exécution de code arbitraire
- Date du rapport :
- 10 septembre 2002
- Paquets concernés :
- cacti
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2002-1477, CVE-2002-1478.
- Plus de précisions :
-
Un problème dans cacti, une interface à rrdtool en PHP pour surveiller les systèmes et les services, a été découvert. Il permet d'exécuter un code non désiré dans cacti sous l'identité de l'utilisateur du serveur web. Cependant, ce problème n'est possible que si vous êtes administrateur sur la machine qui fait fonctionner cacti.
Ce problème est réparé en enlevant tous les dollars signs and backticks du titre de la version 0.6.7-2.1 pour l'actuelle distribution stable (woody) et dans celle 0.6.8a-2 pour la distribution instable (sid). L'ancienne distribution stable (potato) n'est affectée vu qu'elle ne contient pas le paquet cacti.
Nous vous recommandons de mettre à jour vos paquets cacti immédiatement.
- Corrigé dans :
-
Debian GNU/Linux 3.0 (woody)
- Source :
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7-2.1.dsc
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7-2.1.diff.gz
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7.orig.tar.gz
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7-2.1.diff.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7-2.1_all.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.