Security Lab

Удаленное выполнение команд оболочки в NAGIOS

Дата публикации:23.06.2009
Дата изменения:02.07.2009
Всего просмотров:2614
Опасность:
Средняя
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Компрометация системы
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Nagios 3.x

Уязвимые версии: Nagios версии до 3.1.1.

Описание:
Обнаруженная уязвимость позволяет потенциально скомпрометировать уязвимую систему.

Сценарий statuswml.cgi недостаточно фильтрует данные в параметре "ping", перед выполнением команды PING. В результате возможно внедрить и выполнить произвольные команды оболочки. Для успешной эксплуатации требуется доступ к функции PING через Wap интерфейс.

URL производителя: www.nagios.org

Решение: Обновите до версии 3.1.1

Журнал изменений:

02.07.2009
Незначительные изменения.

Ссылки: http://www.nagios.org/development/history/core-3x/
http://tracker.nagios.org/view.php?id=15