GLSA 200907-15: Nagios: Execution of arbitrary code

Опасность:	высокая
Заголовок:	Nagios: Execution of arbitrary code
Дата:	19.07.2009
Ошибки:	#245887, #249876, #275288
ID:	200907-15

Сводка

Multiple vulnerabilities in Nagios may lead to the execution of arbitrary code.

Назначение

Nagios is an open source host, service and network monitoring program.

Уязвимые пакеты

Пакет	Уязвимый	Нетронутый	Архитектура(ы)
net-analyzer/nagios-core	< 3.0.6-r2	>= 3.0.6-r2	All supported architectures

Описание

Multiple vulnerabilities have been reported in Nagios:

• Paul reported that statuswml.cgi does not properly sanitize shell metacharacters in the (1) ping and (2) traceroute parameters (CVE-2009-2288).
• Nagios does not properly verify whether an authenticated user is authorized to run certain commands (CVE-2008-5027).
• Andreas Ericsson reported that Nagios does not perform validity checks to verify HTTP requests, leading to Cross-Site Request Forgery (CVE-2008-5028).
• An unspecified vulnerability in Nagios related to CGI programs, "adaptive external commands," and "writing newlines and submitting service comments" has been reported (CVE-2008-6373).

Воздействие

A remote authenticated or unauthenticated attacker may exploit these vulnerabilities to execute arbitrary commands or elevate privileges.

Обход

There is no known workaround at this time.

Решение

All Nagios users should upgrade to the latest version:

    # emerge --sync
    # emerge --ask --oneshot --verbose ">=net-analyzer/nagios-core-3.0.6-r2"

NOTE: Users of the Nagios 2 branch can update to version 2.12-r1 which contains a patch to fix CVE-2009-2288. However, that branch is not supported upstream or in Gentoo and we are unaware whether the other vulnerabilities affect 2.x installations.

Ссылки

• CVE-2008-5027
• CVE-2008-5028
• CVE-2008-6373
• CVE-2009-2288

Наличие

Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security: http://security.gentoo.org/glsa/glsa-200907-15.xml

Опасения?

Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.

Лицензия

Copyright 2010 Gentoo Foundation, Inc; текст ссылки принадлежит его владельцу(ам). Содержание этого документа распространяется на условиях лицензии Creative Commons - Attribution / Share Alike.