CERTA-2009-AVI-249
Vulnerability from certfr_avis - Published: - Updated:
Une vulnérabilité a été identifiée dans l'outil d'administration Nagios. L'exploitation de cette dernière permet de contourner la politique de sécurité mise en place et d'exécuter des commandes arbitraires sur le système vulnérable.
Description
Une vulnérabilité a été identifiée dans l'outil d'administration Nagios. Le script statuswml.cgi ne manipule pas correctement les données fournies pour le paramètre ping.
L'exploitation de cette vulnérabilité permet de contourner la politique de sécurité mise en place et d'exécuter des commandes arbitraires sur le système vulnérable.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
NoneImpacted products
References
| Title | Publication Time | Tags | ||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
||||||||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Nagios, pour les versions ant\u00e9rieures \u00e0 3.1.1.",
"product": {
"name": "N/A",
"vendor": {
"name": "Nagios",
"scada": false
}
}
}
],
"affected_systems_content": null,
"content": "## Description\n\nUne vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 identifi\u00e9e dans l\u0027outil d\u0027administration Nagios.\nLe script statuswml.cgi ne manipule pas correctement les donn\u00e9es\nfournies pour le param\u00e8tre ping.\n\nL\u0027exploitation de cette vuln\u00e9rabilit\u00e9 permet de contourner la politique\nde s\u00e9curit\u00e9 mise en place et d\u0027ex\u00e9cuter des commandes arbitraires sur le\nsyst\u00e8me vuln\u00e9rable.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
"cves": [],
"links": [
{
"title": "Note de suivi de bogue Nagios 15 du 29 mai 2009\u00a0:",
"url": "http://tracker.nagios.org/view.php?id=15"
},
{
"title": "Note de changement de version Nagios mise \u00e0 jour le 23 juin 2009\u00a0:",
"url": "http://www.nagios.org/development/history/core-3x/"
},
{
"title": "Site de t\u00e9l\u00e9chargement Nagios\u00a0:",
"url": "http://www.nagios.org/download"
}
],
"reference": "CERTA-2009-AVI-249",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2009-06-24T00:00:00.000000"
}
],
"risks": [
{
"description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
},
{
"description": "Contournement de la politique de s\u00e9curit\u00e9"
}
],
"summary": "Une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 identifi\u00e9e dans l\u0027outil d\u0027administration Nagios.\nL\u0027exploitation de cette derni\u00e8re permet de contourner la politique de\ns\u00e9curit\u00e9 mise en place et d\u0027ex\u00e9cuter des commandes arbitraires sur le\nsyst\u00e8me vuln\u00e9rable.\n",
"title": "Vuln\u00e9rabilit\u00e9 dans Nagios",
"vendor_advisories": [
{
"published_at": null,
"title": "Annonce de mise \u00e0 jour Nagios du 23 juin 2009",
"url": null
}
]
}
Loading…
Loading…
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or observed by the user.
- Confirmed: The vulnerability has been validated from an analyst's perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
- Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
- Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
- Not confirmed: The user expressed doubt about the validity of the vulnerability.
- Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.
Loading…
Loading…