--------------------------------------------------------------------------
Aviso de seguridad de Debian DSA 893-1 security@debian.org
http://www.debian.org/security/ Martin Schulze
14 de noviembre de 2005 http://www.debian.org/security/faq
--------------------------------------------------------------------------
Paquete : acidlab
Vulnerabilidad : entrada no saneada
Ámbito : remoto
Sólo en Debian : no
Id. de CVE : CVE-2005-3325
Aviso de CERT :
Id. de BugTraq : 15199
Error Debian : 335998 336788
Remco Verhoef ha descubierto una vulnerabilidad en acidlab, la consola de
análisis para intrusiones en bases de datos, y en acidbase, el motor de
análisis básico y de seguridad, de la que podía sacar provecho un usuario
malvado para llevar a cabo ataques de inyección de SQL.
Los mantenedores de la consola de análisis para intrusiones en bases de
datos (ACID) en Debian, de la que surgió BASE, después de realizar una
auditoría tanto en BASE como en ACID, han determinado que la debilidad no
sólo afectaba a base_qry_main.php (en BASE) y a acid_qry_main.php (en
ACID), sino que también estaba presente en otros elementos de las
consolas debido a una validación y a un filtrado incorrecto de los
parámetros.
Todos los errores de inyección de SQL y de guiones a través del sitio que
se han encontrado se han corregido en el paquete de Debian, cerrando
todos los diversos vectores de ataque que se han detectado.
Para la distribución estable (woody), este problema se ha corregido en la
versión 0.9.6b20-2.1.
Para la distribución estable (sarge), este problema se ha corregido en la
versión 0.9.6b20-10.1.
Para la distribución inestable (sid), este problema se ha corregido en la
versión 0.9.6b20-13 y en la versión 1.2.1-1 de acidbase.
Le recomendamos que actualice los paquetes acidlab y acidbase.
Instrucciones de actualización
------------------------------
wget url
obtiene el archivo.
dpkg -i archivo.deb
instala el archivo indicado.
Si va a usar el gestor de paquetes apt-get, emplee la línea
para sources.list que se proporciona al final del aviso:
apt-get update
actualiza la base de datos interna
apt-get upgrade
instala los paquetes corregidos
Puede usar una actualización automatizada, añadiendo los
recursos del final del aviso para la configuración adecuada.
Debian GNU/Linux 3.0 alias woody
--------------------------------
Archivos con el código fuente:
http://security.debian.org/pool/updates/main/a/acidlab/acidlab_0.9.6b20-2.1.dsc
Tamaño y suma MD5: 696 cef50f8f32342dae4d4a636514b45d67
http://security.debian.org/pool/updates/main/a/acidlab/acidlab_0.9.6b20-2.1.diff.gz
Tamaño y suma MD5: 12025 9bd3d66dd5da335a2f6210fdabc71ffc
http://security.debian.org/pool/updates/main/a/acidlab/acidlab_0.9.6b20.orig.tar.gz
Tamaño y suma MD5: 108889 ca7719cfed424c5173cdcd37b6299199
Componentes independientes de la arquitectura:
http://security.debian.org/pool/updates/main/a/acidlab/acidlab_0.9.6b20-2.1_all.deb
Tamaño y suma MD5: 120294 145ddf686a744238b0aee2bec82cb89e
Debian GNU/Linux 3.1 alias sarge
--------------------------------
Archivos con el código fuente:
http://security.debian.org/pool/updates/main/a/acidlab/acidlab_0.9.6b20-10.1.dsc
Tamaño y suma MD5: 696 0bae590a4e21f77779ee5b904d5b7457
http://security.debian.org/pool/updates/main/a/acidlab/acidlab_0.9.6b20-10.1.diff.gz
Tamaño y suma MD5: 352092 02346f1d88573440afe79e8e3eca13a7
http://security.debian.org/pool/updates/main/a/acidlab/acidlab_0.9.6b20.orig.tar.gz
Tamaño y suma MD5: 108889 ca7719cfed424c5173cdcd37b6299199
Componentes independientes de la arquitectura:
http://security.debian.org/pool/updates/main/a/acidlab/acidlab-doc_0.9.6b20-10.1_all.deb
Tamaño y suma MD5: 275994 0382bf72c1ac0121f196d26b0d8462fb
http://security.debian.org/pool/updates/main/a/acidlab/acidlab-mysql_0.9.6b20-10.1_all.deb
Tamaño y suma MD5: 4414 f78fc7c230991b9949cbd2eb5b0d54fc
http://security.debian.org/pool/updates/main/a/acidlab/acidlab-pgsql_0.9.6b20-10.1_all.deb
Tamaño y suma MD5: 4416 3eaec77032a2c3e5044f3c649e802a5f
http://security.debian.org/pool/updates/main/a/acidlab/acidlab_0.9.6b20-10.1_all.deb
Tamaño y suma MD5: 660860 9f6a40fc2f63e296c03029d04b92273c
Estos archivos probablemente se pasen a la distribución estable en
su próxima revisión.
---------------------------------------------------------------------
Para apt-get:
deb http://security.debian.org/ stable/updates main
Para dpkg-ftp:
ftp://security.debian.org/debian-security dists/stable/updates/main
Lista de correo:
debian-security-announce@lists.debian.org
Información del paquete:
'apt-cache show <paquete>' y http://packages.debian.org/<paquete>
--
Juan Manuel Garcia Molina
Debian GNU/Linux Developer
juanma@debian.org http://www.debian.org
Attachment:
pgpuWQntRoO2w.pgp
Description: PGP signature