Sikkerhedsoplysninger / 2012 / Sikkerhedsoplysninger -- DSA-2539-1 zabbix

Debians sikkerhedsbulletin

DSA-2539-1 zabbix -- SQL-indsprøjtning

Rapporteret den:

6. sep 2012

Berørte pakker:

zabbix

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 683273.
I Mitres CVE-ordbog: CVE-2012-3435.

Yderligere oplysninger:

Man opdagede, at Zabbix, en løsning til netværksovervågning, ikke på korrekt vis validerede brugerinddata, som indgår i en SQL-forespørgsel. Det kunne gøre det muligt for uautoriserede angribere, at udføre vilkårlige SQL-kommandoer (SQL-indsprøjtning) og muligvis forøge rettigheder.

I den stabile distribution (squeeze), er dette problem rettet i version 1:1.8.2-1squeeze4.

I distributionen testing (wheezy), vil dette problem snart blive rettet.

I den ustabile distribution (sid), er dette problem rettet i version 1:2.0.2+dfsg-1.

Vi anbefaler at du opgraderer dine zabbix-pakker.