Le Fri, Jun 14, 2013 at 04:17:32PM +0200, nap claviotta : > 2013/6/14 Snarf <sn...@dahwa.fr> > > > Le vendredi 14 juin 2013 à 12:22, Leslie-Alexandre DENIS - DCforDATA > > écrivait: > > > Le dernier (disclosure 02-2013 quand même) CVE Nagios, > > > http://osvdb.org/90582 > > > > cool un CVE pour nrpe. Techniquement, ce n'est pas nagios, mais un des > > trouzemille outils utlisables pour recuperer de l'info sur un serveur. > > > > Apres si tu arrives à passer le $() de la muerte à nrpe, c'est que ta > > requete > > provient d'un serveur connu du nrpe (le traitement du plugin se fait apres > > i > > la validation de l'ip source). > > > > Par ailleurs, nrpe (et autre) ne sont pas des services qu'une personne > > normale va exposer à la face du monde. > > > > > Il faut en plus que les arguments soient autorisés à lui être passés, or le > paramètre est juste en dessous d'un gros commentaire qui déconseille > fortement de le faire, justement pour éviter ce genre de soucis...
Et sinon, nrpe ça se patche, justement pour éviter ce genre de soucis en filtrant un peu plus ce qui est autorisé dans les arguments. Parceque les arguments, une fois sécurisés, c'est quand même bien pratique pour centraliser les valeurs au niveau de la conf shinken (ou nagios) :) -- Guillaume Subiron Mail - maet...@subiron.org GPG - C7C4 455C Jabber - maet...@im.subiron.org IRC - maethor@(freenode|geeknode) _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
