Debians sikkerhedsbulletin
DSA-2060-1 cacti -- utilstrækkelig fornuftighedskontrol af inddata
- Rapporteret den:
- 13. jun 2010
- Berørte pakker:
- cacti
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 582691.
I Mitres CVE-ordbog: CVE-2010-2092. - Yderligere oplysninger:
-
Stefan Esser opdagede at cacti, en frontend til rrdtool vil overvågning af systemer og tjenester, ikke på korrekt vis validerede brugerinddata overført til rra_id-parameteret i skriptet graph.php. På grund af at inddata til $_REQUEST blev kontroller, man inddata til $_GET blev anvendt, kunne uautentificeret angriber udføre SQL-indsprøjtninger gennem en fabrikeret rra_id $_GET-værdi kombineret med en gyldig rra_id $_POST- eller $_COOKIE-værdi.
I den stabile distribution (lenny), er dette problem rettet i version 0.8.7b-2.1+lenny3.
I distributionen testing (squeeze), vil dette problem snart blive rettet.
I den ustabile distribution (sid), er dette problem rettet i version 0.8.7e-4.
Vi anbefaler at du opgraderer dine cacti-pakker.
- Rettet i:
-
Debian GNU/Linux 5.0 (lenny)
- Kildekode:
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.7b-2.1+lenny3.dsc
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.7b-2.1+lenny3.diff.gz
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.7b.orig.tar.gz
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.7b-2.1+lenny3.diff.gz
- Arkitekturuafhængig komponent:
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.7b-2.1+lenny3_all.deb
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.