Risque
- Injection de requêtes illégitimes par rebond (CSRF)
Systèmes affectés
Les versions de Nagios antérieures à la 3.0.5.
Résumé
Un défaut de contrôle de validité des requêtes entrainant une vulnérabilité de type CSRF (Cross Site Request Forgery) a été corrigé.
Description
Un attaquant peut conduire un utilisateur à effectuer des opérations Nagios malgré lui en l'incitant à consulter du code HTML spécifiquement écrit. Pour cela, l'utilisateur doit être connecté à l'interface Nagios lors de la consultation du code malveillant.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de mise à jour Nagios 3.0.5 du 4 novembre 2008 http://www.nagios.org/development/history/nagios-3x.php
