Debian セキュリティ勧告
DSA-164-1 cacti -- 任意コードの実行
- 報告日時:
- 2002-09-10
- 影響を受けるパッケージ:
- cacti
- 危険性:
- あり
- 参考セキュリティデータベース:
- Mitre の CVE 辞書: CVE-2002-1477, CVE-2002-1478.
- 詳細:
-
cacti (PHP ベースの、システムとサービスのモニタリングツール rrdtool のフロントエンド) に問題が発見されました。 この問題により、ウェブサーバのユーザ ID で cacti に任意の プログラムコードを実行させることができます。 ただし、この問題は、既に cacti システムの管理者権限を持っている人 によってのみ攻撃可能です。
この問題は、タイトル文字列から '$' 文字と '\' 文字を除去することで、 現安定版 (stable)(woody) ではバージョン 0.6.7-2.1 で、 不安定版 (unstable)(sid) ではバージョン 0.6.8a-2 で各々修正されています。 なお、旧安定版 (potato) は cacti パッケージを含まないため、この 問題の影響を受けることはありません。
cacti パッケージを早急にアップグレードすることをお勧めします。
- 修正:
-
Debian GNU/Linux 3.0 (woody)
- ソース:
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7-2.1.dsc
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7-2.1.diff.gz
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7.orig.tar.gz
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7-2.1.diff.gz
- アーキテクチャ非依存コンポーネント:
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7-2.1_all.deb
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。