Bacheca Debian sulla sicurezza
DSA-164-1 cacti -- esecuzione arbitraria di codice
- Data della segnalazione:
- 10 set 2002
- Pacchetti coinvolti:
- cacti
- Vulnerabile:
- Sì
- Referenze all'interno del database della sicurezza:
- Nel dizionario CVE di Mitre: CVE-2002-1477, CVE-2002-1478.
- Maggiori informazioni:
-
È stato trovato un problema in cacti, un frontend scritto in PHP a rrdtool che serve a monitorare sistemi e servizi. Questo potrebbe portare cacti a eseguire un codice qualsiasi sotto l'utente del server web. Questo problema è persistente per gli utenti che hanno privilegi di amministratore nel sistema cacti.
Questo problema è stato risolto rimuovendo tutti i simboli del dollaro e le aperte virgolette singole dal titolo nella versione 0.6.7-2.1 per la attuale distribuzione stable (woody) e nella versione 0.6.8a-2 per la distribuzione unstable (sid). La precedente versione stable (potato) non affetta dal problema perché non contiene il paccketto cacti.
Raccomandiamo di aggiornare i propri pacchetti cacti immediatamente.
- Risolto in:
-
Debian GNU/Linux 3.0 (woody)
- Sorgente:
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7-2.1.dsc
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7-2.1.diff.gz
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7.orig.tar.gz
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7-2.1.diff.gz
- Componente indipendente dall'architettura:
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7-2.1_all.deb
Somma di controllo MD5 per i file in elenco disponibile nella notizia originale.