Kritische Lücken in Nagios behoben
Durch Schwachstellen in mehreren CGI-Skripten des Netzwerkmonitors könnte ein Angreifer unter Umständen übers Netz beliebigen Schadcode einschmuggeln.
Die neuen Versionen 1.4 und 2.3 des freien Netzwerkmonitors Nagios beheben mehrere kritische Schwachstellen, über die ein Angreifer unter Umständen übers Netz beliebigen Schadcode mit Rechten des Webserverprozesses zur Ausführung bringen könnte. Laut Release-Notes kann es bei der Verarbeitung negativer Werte für die Längenangabe content_length im Header einer HTTP-Anfrage auf manchen Serverplattformen zu einem Buffer-Overflow kommen.
Etwas vage heißt es dort auch weiter, dass der Fehler unter dem Webserver Apache, der auf rund drei Vierteln der Webserver im Internet läuft, wahrscheinlich nicht auftrete. Nagios-Entwickler Ethan Galstad empfielt jedoch allen Nutzern, umgehend ein Update auf eine der beiden neuen Versionen durchzuführen.
Siehe dazu auch: (cr)
- Nagios 2.3 and 1.4 Available, Release-Notes und Changelog
