Risques
- Contournement de la politique de sécurité
- Exécution de code arbitraire à distance
Systèmes affectés
- Nagios, pour les versions antérieures à 3.1.1.
Résumé
Une vulnérabilité a été identifiée dans l'outil d'administration Nagios. L'exploitation de cette dernière permet de contourner la politique de sécurité mise en place et d'exécuter des commandes arbitraires sur le système vulnérable.
Description
Une vulnérabilité a été identifiée dans l'outil d'administration Nagios. Le script statuswml.cgi ne manipule pas correctement les données fournies pour le paramètre ping.
L'exploitation de cette vulnérabilité permet de contourner la politique de sécurité mise en place et d'exécuter des commandes arbitraires sur le système vulnérable.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Note de changement de version Nagios mise à jour le 23 juin 2009 : http://www.nagios.org/development/history/core-3x/
- Note de suivi de bogue Nagios 15 du 29 mai 2009 : http://tracker.nagios.org/view.php?id=15
- Site de téléchargement Nagios : http://www.nagios.org/download
