Рекомендация Debian по безопасности

DSA-164-1 cacti -- выполнение произвольного кода

Дата сообщения:
10.09.2002
Затронутые пакеты:
cacti
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2002-1477, CVE-2002-1478.
Более подробная информация:

Была обнаружена проблема в cacti, интерфейсе для rrdtool для мониторинга систем и служб на основе PHP. Она может приводить к выполнению произвольного программного кода от лица пользователя, запустившего веб-сервер. Тем не менее, эта проблема присутствует только у тех пользователей, которые уже имеют права администратора в системе cacti.

Эта проблема была исправлена путём удаления любых символов знака доллара и обратных галочек из строки заголовка в версии 0.6.7-2.1 для текущего стабильного выпуска (woody) и в версии 0.6.8a-2 для нестабильного выпуска (sid). В предыдущем стабильном выпуске (potato) пакет cacti отсутствует.

Рекомендуется как можно скорее обновить пакет cacti.

Исправлено в:

Debian GNU/Linux 3.0 (woody)

Исходный код:
http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7-2.1.dsc
http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7-2.1.diff.gz
http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7.orig.tar.gz
Независимые от архитектуры компоненты:
http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7-2.1_all.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.