Säkerhetsbulletin från Debian
DSA-164-1 cacti -- exekvering av godtycklig kod
- Rapporterat den:
- 2002-09-10
- Berörda paket:
- cacti
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2002-1477, CVE-2002-1478.
- Ytterligare information:
-
Ett problem har upptäckts i cacti, ett PHP-baserat skal mot rrdtool för att övervaka system och tjänster. Detta kunde leda till att cacti exekverade godtycklig programkod under webbserverns användar-id. Detta problem kan dock endast utnyttjas för användare som redan har administratörprivilegier på cacti-systemet.
Detta problem har rättats genom att ta bort alla dollartecken och bakåtapostrofer i titelsträngen i version 0.6.7-2.1 för den nuvarande stabila utgåvan (Woody) samt i version 0.6.8a-2 för den instabila utgåvan (Sid). Den gamla stabila utgåvan (Potato) berörs inte eftersom den inte innehåller cacti-paketet.
Vi rekommenderar att ni uppgraderar ert cacti-paket omedelbart.
- Rättat i:
-
Debian GNU/Linux 3.0 (woody)
- Källkod:
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7-2.1.dsc
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7-2.1.diff.gz
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7.orig.tar.gz
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7-2.1.diff.gz
- Arkitekturoberoende komponent:
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7-2.1_all.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.