Рекомендация Debian по безопасности

DSA-1954-1 cacti -- недостаточная очистка входных данных

Дата сообщения:
16.12.2009
Затронутые пакеты:
cacti
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 429224.
В каталоге Mitre CVE: CVE-2007-3112, CVE-2007-3113, CVE-2009-4032.
Более подробная информация:

В cacti, пользовательском интерфейсе для rrdtool для мониторинга систем и служб, было обнаружено несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

  • CVE-2007-3112, CVE-2007-3113

    Было обнаружено, что cacti уязвим к отказу в обслуживании, которое может быть вызвано через параметры graph_height, graph_width, graph_start и graph_end. Данная проблема касается только версии cacti из предыдущего стабильного выпуска (etch).

  • CVE-2009-4032

    Было обнаружено, что cacti уязвим к атакам по принципу межсайтового скриптинга через различные векторы.

  • CVE-2009-4112

    Было обнаружено, что cacti позволяет аутентифицированному администраторам получать доступ к системе узла, выполняя произвольные команды с помощью "Data Input Method" для настройки "Linux - Get Memory Usage".

    На данный момент исправления данной проблемы нет. Разработчики основной ветки планируют реализовать правило разрешённого списка, согласно которому будет разрешено использование только определённых "безопасных" команд. В настоящее время рекомендуется предоставлять такой доступ только доверенным пользователям, в противном случае опции "Data Input" и "User Administration" следует отключить.

В предыдущем стабильном выпуске (etch) эти проблемы были исправлены в версии 0.8.6i-3.6.

В стабильном выпуске (lenny) эта проблема была исправлена в версии 0.8.7b-2.1+lenny1.

В тестируемом выпуске (squeeze) эта проблема будет исправлена позже.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 0.8.7e-1.1.

Рекомендуется обновить пакеты cacti.

Исправлено в:

Debian GNU/Linux 4.0 (etch)

Исходный код:
http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6i.orig.tar.gz
http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6i-3.6.diff.gz
http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6i-3.6.dsc
Независимые от архитектуры компоненты:
http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6i-3.6_all.deb

Debian GNU/Linux 5.0 (lenny)

Исходный код:
http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.7b.orig.tar.gz
http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.7b-2.1+lenny1.diff.gz
http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.7b-2.1+lenny1.dsc
Независимые от архитектуры компоненты:
http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.7b-2.1+lenny1_all.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.