Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

  • Nagios Plugins versions 1.4.10 et antérieures (CVE-2007-5623).
  • Nagios Plugins versions 1.4.9 et antérieures (CVE-2007-5198) ;

Résumé

Plusieurs vulnérabilités dans Nagios Plugins permettent à un utilisateur distant d'exécuter du code arbitraire.

Description

Deux vulnérbilités sont présentes dans les extensions pour Nagios (Nagios Plugins) :

  • la première est relative à l'extension check_http (CVE-2007-5198) et permet à un utilisateur distant d'exécuter du code arbitraire via un serveur web particulier si le paramètre -f a été passé à l'extension ;
  • la seconde est relative à l'extension check_snmp (CVE-2007-5623) et permet à un utilisateur distant d'exécuter du code arbitraire via une réponse à une requête SNMP (snmpget) construite de façon particulière.

Solution

Se référer au bulletin de sécurité des éditeurs pour l'obtention des correctifs (cf. section Documentation).

Documentation