Sauter le menu

• À propos de Debian
• Actualités
• Obtenir Debian
• Assistance
• Le coin du développeur
• Plan du site
• Recherche

Bulletin d'alerte Debian

DSA-164-1 cacti -- Exécution de code arbitraire

Date du rapport:

10 septembre 2002

Paquets concernés:

cacti

Vulnérabilité:

Oui

Références dans la base de données de sécurité:

Dans le dictionnaire CVE du Mitre : CVE-2002-1477, CVE-2002-1478.

Pour plus d'information:

Un problème dans cacti, une interface à rrdtool en PHP pour surveiller les systèmes et les services, a été découvert. Il permet d'exécuter un code non désiré dans cacti sous l'identité de l'utilisateur du serveur web. Cependant, ce problème n'est possible que si vous êtes administrateur sur la machine qui fait fonctionner cacti.

Ce problème est réparé en enlevant tous les dollars signs and backticks du titre de la version 0.6.7-2.1 pour l'actuelle distribution stable (woody) et dans celle 0.6.8a-2 pour la distribution instable (sid). L'ancienne distribution stable (potato) n'est affectée vu qu'elle ne contient pas le paquet cacti.

Nous vous recommandons de mettre à jour vos paquets cacti immédiatement.

Corrigé dans:

Debian GNU/Linux 3.0 (woody)

Source :

http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7-2.1.dsc

http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7-2.1.diff.gz

http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7.orig.tar.gz

Composant indépendant de l'architecture :

http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7-2.1_all.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.

Cette page est aussi disponible dans les langues suivantes :

dansk Deutsch English español Italiano 日本語 (Nihongo) Português svenska

Comment configurer la langue par défaut du document