Bulletin d'alerte Debian
DSA-893-1 acidlab -- Mauvaise vérification des entrées
- Date du rapport :
- 14 novembre 2005
- Paquets concernés :
- acidlab
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 335998, Bogue 336788.
Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 15199.
Dans le dictionnaire CVE du Mitre : CVE-2005-3325. - Plus de précisions :
-
Remco Verhoef a découvert une vulnérabilité dans acidlab, Analysis Console for Intrusion Databases (console d'analyse de bases de données d'intrusion), et acidbase, Basic Analysis and Security Engine (moteur basique d'analyse et de sécurite), qui pouvait être exploitée par un utilisateur malveillant pour mener des attaques d'injection SQL.
Les responsables Debian d'Analysis Console for Intrusion Databases (ACID), dont BASE est dérivé, ont déterminé suite à un audit de sécurité de BASE et ACID que la faille trouvée n'affectait pas seulement le composant base_qry_main.php (dans BASE) ou acid_qry_main.php (dans ACID), mais ont aussi trouvé d'autres composants de la console touchés en raison de mauvais filtrage et validation de paramètres.
Tous les bogues d'injection SQL et tous les bogues de script intersites ont été corrigés dans le paquet Debian, ce qui clôt tous les différents vecteurs d'attaque détectés.
Pour l'ancienne distribution stable (Woody), ce problème a été corrigé dans la version 0.9.6b20-2.1.
Pour l'actuelle distribution stable (Sarge), ce problème a été corrigé dans la version 0.9.6b20-10.1.
Pour la distribution instable (Sid), ce problème a été corrigé dans la version 0.9.6b20-13 et dans la version 1.2.1-1 d'acidbase.
Nous vous recommandons de mettre à jour vos paquets acidlab et acidbase.
- Corrigé dans :
-
Debian GNU/Linux 3.0 (woody)
- Source :
- http://security.debian.org/pool/updates/main/a/acidlab/acidlab_0.9.6b20-2.1.dsc
- http://security.debian.org/pool/updates/main/a/acidlab/acidlab_0.9.6b20-2.1.diff.gz
- http://security.debian.org/pool/updates/main/a/acidlab/acidlab_0.9.6b20.orig.tar.gz
- http://security.debian.org/pool/updates/main/a/acidlab/acidlab_0.9.6b20-2.1.diff.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/a/acidlab/acidlab_0.9.6b20-2.1_all.deb
Debian GNU/Linux 3.1 (sarge)
- Source :
- http://security.debian.org/pool/updates/main/a/acidlab/acidlab_0.9.6b20-10.1.dsc
- http://security.debian.org/pool/updates/main/a/acidlab/acidlab_0.9.6b20-10.1.diff.gz
- http://security.debian.org/pool/updates/main/a/acidlab/acidlab_0.9.6b20.orig.tar.gz
- http://security.debian.org/pool/updates/main/a/acidlab/acidlab_0.9.6b20-10.1.diff.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/a/acidlab/acidlab-doc_0.9.6b20-10.1_all.deb
- http://security.debian.org/pool/updates/main/a/acidlab/acidlab-mysql_0.9.6b20-10.1_all.deb
- http://security.debian.org/pool/updates/main/a/acidlab/acidlab-pgsql_0.9.6b20-10.1_all.deb
- http://security.debian.org/pool/updates/main/a/acidlab/acidlab_0.9.6b20-10.1_all.deb
- http://security.debian.org/pool/updates/main/a/acidlab/acidlab-mysql_0.9.6b20-10.1_all.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.