Risque
Déni de service à distance.
Systèmes affectés
Nagios en versions sources :
- 1.x, jusqu'à 1.3 ;
- 2.x, jusqu'à 2.2.
Résumé
Une mauvaise gestion de l'entête HTTP des requêtes POST peut être exploitée pour provoquer une écriture hors tampon qui conduira, au moins, à l'arrêt du service.
Description
Nagios est un outil de surveillance réseau possédant une interface web de consultation. Une erreur dans la gestion des requêtes peut provoquer l'arrêt du processus.
Contournement provisoire
Restreindre l'accès au service à des adresses IP de confiance.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation) ou mettre à jour les sources en versions 1.4 ou 2.3 au moins.
Documentation
- Site internet de Nagios :
http://www.nagios.org