Säkerhetsbulletin från Debian

DSA-1250-1 cacti -- städar inte indata

Rapporterat den:

2007-01-17

Berörda paket:

cacti

Sårbara:

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 404818.
I Mitres CVE-förteckning: CVE-2006-6799.

Ytterligare information:

Det har upptäckts att cacti, ett skal runt rrdtool, inte utför tillräcklig städning av data som sänts till skriptet cmd, vilket gjorde det möjligt att injicera SQL och exekvera godtyckliga skalkommandon.

För den stabila utgåvan (Sarge) har detta problem rättats i version 0.8.6c-7sarge4.

För den kommande stabila utgåvan (Etch) har detta problem rättats i version 0.8.6i-3.

För den instabila utgåvan (Sid) har detta problem rättats i version 0.8.6i-3.

Vi rekommenderar att ni uppgraderar ert cacti-paket.

Rättat i:

Debian GNU/Linux 3.1 (sarge)

Källkod:: http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6c-7sarge4.dsc; http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6c-7sarge4.diff.gz; http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6c.orig.tar.gz
Arkitekturoberoende komponent:: http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6c-7sarge4_all.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.