Remco Verhoef ha descubierto una vulnerabilidad en acidlab, la consola de análisis para intrusiones en bases de datos, y en acidbase, el motor de análisis básico y de seguridad, de la que podía sacar provecho un usuario malvado para llevar a cabo ataques de inyección de SQL.
Los mantenedores de la consola de análisis para intrusiones en bases de datos (ACID) en Debian, de la que surgió BASE, después de realizar una auditoría tanto en BASE como en ACID, han determinado que la debilidad no sólo afectaba a base_qry_main.php (en BASE) y a acid_qry_main.php (en ACID), sino que también estaba presente en otros elementos de las consolas debido a una validación y a un filtrado incorrecto de los parámetros.
Todos los errores de inyección de SQL y de guiones a través del sitio que se han encontrado se han corregido en el paquete de Debian, cerrando todos los diversos vectores de ataque que se han detectado.
Para la distribución estable (woody), este problema se ha corregido en la versión 0.9.6b20-2.1.
Para la distribución estable (sarge), este problema se ha corregido en la versión 0.9.6b20-10.1.
Para la distribución inestable (sid), este problema se ha corregido en la versión 0.9.6b20-13 y en la versión 1.2.1-1 de acidbase.
Le recomendamos que actualice los paquetes acidlab y acidbase.
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.