[Generic/nagios] Schwachstelle in nagios
(2009-07-06 00:27:56.166958+00) Druckversion
Quelle: http://archive.cert.uni-stuttgart.de/bugtraq/2009/07/msg00019.html
Eine Schwachstelle im Skript statuswml.cgi
kann von einem
Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem
beherbergendenn System auszuführen.
Inhalt
- Zusammenfassung
- Betroffene Systeme
- Nicht betroffene Systeme
- Plattform
- Einfallstor
- Angriffsvoraussetzung
- Angriffsvektorklasse
- Auswirkung
- Typ der Verwundbarkeit
- Gefahrenpotential
- Beschreibung
- Workaround
- Gegenmaßnahmen
- Vulnerability ID
Zusammenfassung
- CVE-2009-2288:
Betroffen: nagios 3.1.0 und früher Nicht betroffen: nagios 3.1.1, 3.1.2 Plattform: GNU/Linux, UNIX Einfallstor: statuswml.cgi
Angriffsvoraussetzung: user credentials Angriffsvektorklasse: remote Auswirkung: user compromise Typ: input validation flaw Gefahrenpotential: hoch Workaround: bedingt Gegenmaßnahmen: neue Version Vulnerability ID: CVE-2009-2288
Betroffene Systeme
- nagios 3.1.0 und frühere Versionen
Nicht betroffene Systeme
- nagios 3.1.1
- nagios 3.1.2 und spätere Versionen
Plattform
- GNU/Linux
- UNIX-Derivate
Einfallstor
- Parameterdaten an das
CGI-Skript
statuswml.cgi
Angriffsvoraussetzung
-
Berechtigungsnachweis
zum Zugriff auf die Webschnittstelle von nagios
(user credentials)
Angriffsvektorklasse
-
über eine Netzwerkverbindung
(remote)
Auswirkung
-
Ausführung beliebigen Programmcodes mit den Privilegien des
nagios-Prozesses
(user compromise)
Typ der Verwundbarkeit
-
Unzureichende Überprüfung der Benutzereingaben
(input validation flaw)
Gefahrenpotential
- hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)
Beschreibung
Die ungenügende Überprüfung der Eingabeparameter des
CGI-Skriptes
statuswml.cgi
, das über die Webschnittstelle des IT-Infrastruktur-Überwachungswerkzeuges
nagios aufgerufen wird, kann von
einem Angreifer dazu ausgenutzt werden, über Metazeichen in den
Parametern an das ping
- oder
traceroute
-Kommando beliebige shell-Kommandos und
damit beliebigen Programmcode auf dem beherbergenden
System
auszuführen.
Der Code wird dabei mit den Privilegien des
nagios-Prozesses
ausgeführt.
Sofern der Prozess mit administrativen Privilegien ausgestattet ist, führt die
erfolgreiche Ausnutzung dieser Schwachstelle zur Kompromittierung
des beherbergenden Systems.
Um die Schwachstelle erfolgreich ausnutzen zu können, ist es
erforderlich, dass der Angreifer auf die Webschnittstelle von nagios
zugreifen und statuswml.cgi
aufrufen kann. Üblicherweise
ist dazu ein entsprechender Berechtigungsnachweis
erforderlich, jedoch sind durchaus Szenarien denkbar, in denen
beliebigen Benutzern der Zugriff auf das Skript, das zur Ermittlung des
(Netz-)Zustandes eines im nagios-Verbund überwachten Systems dient,
gewährt wird, ohne das der Benutzer sich hierfür zuvor authentisieren
muss. In diesen Szenarien stellt diese Schwachstelle eine sehr ernste
Bedrohung für das beherbergende System und aufgrund dessen zentraler
Position und Bedeutung im Netzwerk auch für die gesamte überwachte
IT-Infrastruktur dar.
Workaround
- Umkonfiguration von nagios in der Art, dass das CGI-Skript
statuswml.cgi
nicht mehr durch Benutzer der Webschnittstelle aufgerufen werden kann.
Gegenmaßnahmen
Installation einer neuen Version:- nagios 3.1.2
- Debian [SECURITY] [DSA 1825-1] New nagios2/nagios3 packages fix arbitrary code execution
- Ubuntu: [USN-795-1] Nagios vulnerability
Vulnerability ID
(og)Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der
Universität Stuttgart recherchiert und zusammengestellt. Die Universität
Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel
darf ausschließlich in unveränderter Form und nur zusammen mit diesem
Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine
Veröffentlichung unter diesen Bedingungen an anderer Stelle ist
ausdrücklich gestattet.
Copyright © 2018 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
Vorherige Meldung | Weitere Meldungen... | Nächste Meldung |
Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.