Csomag: cacti
Sebezhetőség: tetszőleges kód futtatása
Probléma típus: távoli
Debian-specifikus: nem
Egy problémát találtak a cacti-ban, ami egy PHP alapú frontend az rrdtool alapú rendszer- és szolgáltatásmonitorozó eszközhöz. Ezt fel lehet használni arra, hogy tetszőleges kódot futtassunk a webszervert futtató felhasználói azonosító alatt.Ez a probléma egyébként csak akkor adódik, ha a felhasználónak már adminisztrátori privilégiumai vannak a cacti rendszerében.A problémát javították úgy, hogy eltávolították a dollár és backtick (`) jeleket a címsor változóból a 0.6.7-2.1 verzióban az aktuális stabil terjesztésben (woody) és a 0.6.8a-2 verzióban az instabil terjesztésben (sid). A régi stabil terjesztés (potato) nem érintett a hibában lévén az nem tartalmazza a cacti csomagot.
A cacti csomagok azonnali frissítése javasolt.
Martin Schultze levele a debian-security-announce listán.
A frissítésrõl szóló FAQ-nk.