Avis du CERT-FR

Objet: Vulnérabilité dans Nagios

Gestion du document

Référence	CERTA-2008-AVI-545
Titre	Vulnérabilité dans Nagios
Date de la première version	06 novembre 2008
Date de la dernière version	06 novembre 2008
Source(s)	Bulletin de mise à jour Nagios 3.0.5 du 4 novembre 2008
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Attaque de type Cross-Site Request Forgery.

Systèmes affectés

Les versions de Nagios antérieures à la 3.0.5.

Résumé

Un défaut de contrôle de validité des requêtes entrainant une vulnérabilité de type CSRF (Cross Site Request Forgery) a été corrigé.

Description

Un attaquant peut conduire un utilisateur à effectuer des opérations Nagios malgré lui en l'incitant à consulter du code HTML spécifiquement écrit. Pour cela, l'utilisateur doit être connecté à l'interface Nagios lors de la consultation du code malveillant.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de mise à jour Nagios 3.0.5 du 4 novembre 2008 :
```
http://www.nagios.org/development/history/nagios-3x.php
```

Gestion détaillée du document

le 06 novembre 2008: version initiale.