Le Fri, Jun 14, 2013 at 04:17:32PM +0200, nap claviotta :
2013/6/14 Snarf snarf@dahwa.fr
Le vendredi 14 juin 2013 à 12:22, Leslie-Alexandre DENIS - DCforDATA écrivait:
Le dernier (disclosure 02-2013 quand même) CVE Nagios, http://osvdb.org/90582
cool un CVE pour nrpe. Techniquement, ce n'est pas nagios, mais un des trouzemille outils utlisables pour recuperer de l'info sur un serveur.
Apres si tu arrives à passer le $() de la muerte à nrpe, c'est que ta requete provient d'un serveur connu du nrpe (le traitement du plugin se fait apres i la validation de l'ip source).
Par ailleurs, nrpe (et autre) ne sont pas des services qu'une personne normale va exposer à la face du monde.
Il faut en plus que les arguments soient autorisés à lui être passés, or le paramètre est juste en dessous d'un gros commentaire qui déconseille fortement de le faire, justement pour éviter ce genre de soucis...
Et sinon, nrpe ça se patche, justement pour éviter ce genre de soucis en filtrant un peu plus ce qui est autorisé dans les arguments.
Parceque les arguments, une fois sécurisés, c'est quand même bien pratique pour centraliser les valeurs au niveau de la conf shinken (ou nagios) :)