Рекомендация Debian по безопасности

DSA-1883-1 nagios2 -- отсутствие очистки входных данных

Дата сообщения:
10.09.2009
Затронутые пакеты:
nagios2
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 448371, Ошибка 482445, Ошибка 485439.
В каталоге Mitre CVE: CVE-2007-5624, CVE-2007-5803, CVE-2008-1360.
Более подробная информация:

В nagios2, системе для мониторинга и управления узлом/службой/сетью, было обнаружено несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

В CGI-сценариях было обнаружено несколько случаев межсайтового скриптинга из-за ряда параметров, что позволяет злоумышленникам вводить произвольный код HTML. Для того, чтобы покрыть различные векторы атак, этим проблемам были назначены идентификаторы CVE-2007-5624, CVE-2007-5803 и CVE-2008-1360.

В предыдущем стабильном выпуске (etch) эти проблемы были исправлены в версии 2.6-2+etch4.

В стабильном выпуске (lenny) пакет nagios2 отсутствует, а пакет nagios3 не подвержен указанным проблемам.

В тестируемом (squeeze) и нестабильном (sid) выпусках пакет nagios2 отсутствует, а пакет nagios3 не подвержен указанным проблемам.

Рекомендуется обновить пакеты nagios2.

Исправлено в:

Debian GNU/Linux 4.0 (etch)

Исходный код:
http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch4.diff.gz
http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6.orig.tar.gz
http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch4.dsc
Независимые от архитектуры компоненты:
http://security.debian.org/pool/updates/main/n/nagios2/nagios2-doc_2.6-2+etch4_all.deb
http://security.debian.org/pool/updates/main/n/nagios2/nagios2-common_2.6-2+etch4_all.deb
Alpha:
http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch4_alpha.deb
http://security.debian.org/pool/updates/main/n/nagios2/nagios2-dbg_2.6-2+etch4_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/n/nagios2/nagios2-dbg_2.6-2+etch4_amd64.deb
http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch4_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/n/nagios2/nagios2-dbg_2.6-2+etch4_arm.deb
http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch4_arm.deb
HP Precision:
http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch4_hppa.deb
http://security.debian.org/pool/updates/main/n/nagios2/nagios2-dbg_2.6-2+etch4_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/n/nagios2/nagios2-dbg_2.6-2+etch4_i386.deb
http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch4_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch4_ia64.deb
http://security.debian.org/pool/updates/main/n/nagios2/nagios2-dbg_2.6-2+etch4_ia64.deb
Big-endian MIPS:
http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch4_mips.deb
http://security.debian.org/pool/updates/main/n/nagios2/nagios2-dbg_2.6-2+etch4_mips.deb
Little-endian MIPS:
http://security.debian.org/pool/updates/main/n/nagios2/nagios2-dbg_2.6-2+etch4_mipsel.deb
http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch4_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch4_powerpc.deb
http://security.debian.org/pool/updates/main/n/nagios2/nagios2-dbg_2.6-2+etch4_powerpc.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch4_sparc.deb
http://security.debian.org/pool/updates/main/n/nagios2/nagios2-dbg_2.6-2+etch4_sparc.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.