Рекомендация Debian по безопасности
DSA-164-1 cacti -- выполнение произвольного кода
- Дата сообщения:
- 10.09.2002
- Затронутые пакеты:
- cacti
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В каталоге Mitre CVE: CVE-2002-1477, CVE-2002-1478.
- Более подробная информация:
-
Была обнаружена проблема в cacti, интерфейсе для rrdtool для мониторинга систем и служб на основе PHP. Она может приводить к выполнению произвольного программного кода от лица пользователя, запустившего веб-сервер. Тем не менее, эта проблема присутствует только у тех пользователей, которые уже имеют права администратора в системе cacti.
Эта проблема была исправлена путём удаления любых символов знака доллара и обратных галочек из строки заголовка в версии 0.6.7-2.1 для текущего стабильного выпуска (woody) и в версии 0.6.8a-2 для нестабильного выпуска (sid). В предыдущем стабильном выпуске (potato) пакет cacti отсутствует.
Рекомендуется как можно скорее обновить пакет cacti.
- Исправлено в:
-
Debian GNU/Linux 3.0 (woody)
- Исходный код:
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7-2.1.dsc
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7-2.1.diff.gz
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7.orig.tar.gz
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7-2.1.diff.gz
- Независимые от архитектуры компоненты:
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7-2.1_all.deb
Контрольные суммы MD5 этих файлов доступны в исходном сообщении.