2013/6/14 Snarf <sn...@dahwa.fr> > Le vendredi 14 juin 2013 à 12:22, Leslie-Alexandre DENIS - DCforDATA > écrivait: > > Le dernier (disclosure 02-2013 quand même) CVE Nagios, > > http://osvdb.org/90582 > > cool un CVE pour nrpe. Techniquement, ce n'est pas nagios, mais un des > trouzemille outils utlisables pour recuperer de l'info sur un serveur. > > Apres si tu arrives à passer le $() de la muerte à nrpe, c'est que ta > requete > provient d'un serveur connu du nrpe (le traitement du plugin se fait apres > i > la validation de l'ip source). > > Par ailleurs, nrpe (et autre) ne sont pas des services qu'une personne > normale va exposer à la face du monde. > > Il faut en plus que les arguments soient autorisés à lui être passés, or le paramètre est juste en dessous d'un gros commentaire qui déconseille fortement de le faire, justement pour éviter ce genre de soucis...
Jean
_______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/