Рекомендация Debian по безопасности
DSA-2060-1 cacti -- недостаточная очистка ввода
- Дата сообщения:
- 13.06.2010
- Затронутые пакеты:
- cacti
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В системе отслеживания ошибок Debian: Ошибка 582691.
В каталоге Mitre CVE: CVE-2010-2092. - Более подробная информация:
-
Штефан Эссер обнаружил, что cacti, интерфейс для rrdtool для отслеживания систем и служб, неправильно выполняет проверку входных данных в параметре rra_id из сценария graph.php. Из-за проверки входных данных $_REQUEST с использованием входных данных $_GET в запросе, неаутентифицированный злоумышленник может выполнить SQL-инъекцию при помощи специально сформированного значения $_GET rra_id и дополнительного корректного значения $_POST или $_COOKIE rra_id.
В стабильном выпуске (lenny) эта проблема была исправлена в версии 0.8.7b-2.1+lenny3.
В тестируемом выпуске (squeeze) эта проблема будет исправлена позже.
В нестабильном выпуске (sid) эта проблема была исправлена в версии 0.8.7e-4.
Рекомендуется обновить пакеты cacti.
- Исправлено в:
-
Debian GNU/Linux 5.0 (lenny)
- Исходный код:
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.7b-2.1+lenny3.dsc
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.7b-2.1+lenny3.diff.gz
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.7b.orig.tar.gz
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.7b-2.1+lenny3.diff.gz
- Независимые от архитектуры компоненты:
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.7b-2.1+lenny3_all.deb
Контрольные суммы MD5 этих файлов доступны в исходном сообщении.