Risque
- Exécution de code arbitraire à distance ;
- déni de service à distance.
Systèmes affectés
- Nagios versions antérieures à la version 1.4.1 ;
- Nagios versions antérieures à la version 2.3.1 ;
Description
Deux vulnérabilités de type débordement de variable ont été découvertes dans Nagios. Ces vulnérabilités peuvent être exploitées par un utilisateur distant par le biais d'une entête HTTP spécialement conçue.
L'exploitation de cette vulnérabilité permet d'effectuer un déni de service et/ou une compromission de la machine à distance.
Solution
Les versions sources 1.4.1 et 2.3.1 corrigent cette vulnérabilité (cf. section Documentation).
Documentation
- Bulletin de mise à jour Nagios :
http://www.nagios.org/development/changelog.php
- Bulletin de sécurité Debian DSA 1072 du 22 mai 2006 :
http://www.debian.org/security/2006/dsa-1072
- Bulletin de sécurité Gentoo GLSA-200605-07 du 16 mai 2006 :
http://www.gentoo.org/security/en/glsa/glsa-200605-07.xml
- Bulletin de sécurité SUSE SuSE-SA:2006:005 du 19 mai 2006 (ne prend pas en compte CAN-2006-2489) :
http://www.novell.com/linux/security/advisories/2006_05_19.html
- Bulletin de sécurité Ubuntu USN-282-1 du 08 mai 2006 (ne prend pas en compte CAN-2006-2489) :
http://www.ubuntulinux.org/usn/usn-282-1
- Référence CVE CAN-2006-2162 :
https://www.cve.org/CVERecord?id=CAN-2006-2162
- Référence CVE CAN-2006-2489 :
https://www.cve.org/CVERecord?id=CAN-2006-2489
