Рекомендация Debian по безопасности
DSA-1250-1 cacti -- отсутствие очистки ввода
- Дата сообщения:
- 17.01.2007
- Затронутые пакеты:
- cacti
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В системе отслеживания ошибок Debian: Ошибка 404818.
В каталоге Mitre CVE: CVE-2006-6799. - Более подробная информация:
-
Было обнаружено, что cacti, интерфейс для rrdtool, выполняет недостаточную проверку данных, передаваемых сценарию
cmd
, что позволяет выполнять SQL-инъекции и выполнять произвольные команды командной оболочки.В стабильном выпуске (sarge) эта проблема была исправлена в версии 0.8.6c-7sarge4.
В готовящемся стабильном выпуске (etch) эта проблема была исправлена в версии 0.8.6i-3.
В нестабильном выпуске (sid) эта проблема была исправлена в версии 0.8.6i-3.
Рекомендуется обновить пакет cacti.
- Исправлено в:
-
Debian GNU/Linux 3.1 (sarge)
- Исходный код:
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6c-7sarge4.dsc
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6c-7sarge4.diff.gz
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6c.orig.tar.gz
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6c-7sarge4.diff.gz
- Независимые от архитектуры компоненты:
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6c-7sarge4_all.deb
Контрольные суммы MD5 этих файлов доступны в исходном сообщении.