Debians sikkerhedsbulletin

DSA-1418-1 cacti -- manglende kontrol af inddata

Rapporteret den:

2. dec 2007

Berørte pakker:

cacti

Sårbar:

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 452085.
I Mitres CVE-ordbog: CVE-2007-6035.

Yderligere oplysninger:

Man har opdaget at Cacti, en værktøj til overvåge systemer og netværk, udførte utilstrækkelig fornuftighedskontrol af inddata, hvilket muliggjorde SQL-indsprøjtning.

I den gamle stabile distribution (sarge) er dette problem rettet i version 0.8.6c-7sarge5.

I den stabile distribution (etch) er dette problem rettet i version 0.8.6i-3.2.

I den ustabile distribution (sid) er dette problem rettet i version 0.8.7a-1.

Vi anbefaler at du opgraderer din cacti-pakke.

Rettet i:

Debian GNU/Linux 3.1 (oldstable)

Kildekode:: http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6c.orig.tar.gz; http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6c-7sarge5.diff.gz; http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6c-7sarge5.dsc
Arkitekturuafhængig komponent:: http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6c-7sarge5_all.deb

Debian GNU/Linux 4.0 (stable)

Kildekode:: http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6i.orig.tar.gz; http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6i-3.2.dsc; http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6i-3.2.diff.gz
Arkitekturuafhængig komponent:: http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6i-3.2_all.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.