L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Nagios Core

vulnérabilité informatique CVE-2018-18245

Nagios Core : Cross Site Scripting via Plugin Output

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting via Plugin Output de Nagios Core, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Debian, Fedora, Nagios Open Source.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 18/12/2018.
Références : CERTFR-2019-AVI-026, CERTFR-2019-AVI-046, CVE-2018-18245, DLA-1615-1, FEDORA-2019-0b44528ff1, FEDORA-2019-376ecc221c, VIGILANCE-VUL-28045.

Description de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting via Plugin Output de Nagios Core, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2018-13458

Nagios Core : déréférencement de pointeur NULL via qh_core

Synthèse de la vulnérabilité

Un attaquant peut forcer le déréférencement d'un pointeur NULL via qh_core de Nagios Core, afin de mener un déni de service.
Produits concernés : Fedora, Nagios Open Source, WindRiver Linux.
Gravité : 1/4.
Conséquences : déni de service du service, déni de service du client.
Provenance : shell utilisateur.
Date création : 13/07/2018.
Références : CVE-2018-13458, FEDORA-2019-0b44528ff1, FEDORA-2019-376ecc221c, VIGILANCE-VUL-26737.

Description de la vulnérabilité

Un attaquant peut forcer le déréférencement d'un pointeur NULL via qh_core de Nagios Core, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2018-13457

Nagios Core : déréférencement de pointeur NULL via qh_echo

Synthèse de la vulnérabilité

Un attaquant peut forcer le déréférencement d'un pointeur NULL via qh_echo de Nagios Core, afin de mener un déni de service.
Produits concernés : Fedora, Nagios Open Source, WindRiver Linux.
Gravité : 2/4.
Conséquences : déni de service du service, déni de service du client.
Provenance : shell utilisateur.
Date création : 13/07/2018.
Références : CVE-2018-13457, FEDORA-2019-0b44528ff1, FEDORA-2019-376ecc221c, VIGILANCE-VUL-26736.

Description de la vulnérabilité

Un attaquant peut forcer le déréférencement d'un pointeur NULL via qh_echo de Nagios Core, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique CVE-2018-13441

Nagios Core : déréférencement de pointeur NULL via qh_help

Synthèse de la vulnérabilité

Un attaquant peut forcer le déréférencement d'un pointeur NULL via qh_help de Nagios Core, afin de mener un déni de service.
Produits concernés : Fedora, Nagios Open Source, WindRiver Linux.
Gravité : 1/4.
Conséquences : déni de service du service, déni de service du client.
Provenance : shell utilisateur.
Date création : 13/07/2018.
Références : CVE-2018-13441, FEDORA-2019-0b44528ff1, FEDORA-2019-376ecc221c, VIGILANCE-VUL-26735.

Description de la vulnérabilité

Un attaquant peut forcer le déréférencement d'un pointeur NULL via qh_help de Nagios Core, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité informatique CVE-2017-14312

Nagios : élévation de privilèges via nagios.cfg

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions via nagios.cfg de Nagios, afin d'élever ses privilèges.
Produits concernés : Fedora, Nagios Open Source.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié.
Provenance : shell privilégié.
Date création : 12/09/2017.
Références : CVE-2017-14312, FEDORA-2017-9d345f250a, FEDORA-2017-d270e932a3, VIGILANCE-VUL-23809.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions via nagios.cfg de Nagios, afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique CVE-2017-12847

Nagios : déni de service via nagios.lock PID File

Synthèse de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via nagios.lock PID File de Nagios, afin de mener un déni de service.
Produits concernés : Nagios Open Source.
Gravité : 1/4.
Conséquences : déni de service du service, déni de service du client.
Provenance : shell utilisateur.
Date création : 24/08/2017.
Références : CVE-2017-12847, VIGILANCE-VUL-23605.

Description de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via nagios.lock PID File de Nagios, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité CVE-2016-6209

Nagios : Cross Site Scripting via corewindow

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting via corewindow de Nagios, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Nagios Open Source.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 03/04/2017.
Références : CVE-2016-6209, VIGILANCE-VUL-22311.

Description de la vulnérabilité

Le produit Nagios dispose d'un service web.

Cependant, les données reçues via corewindow ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting via corewindow de Nagios, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique CVE-2016-10089

Nagios : élévation de privilèges via /etc/init.d/nagios

Synthèse de la vulnérabilité

Un attaquant local avec les privilèges de l'utilisateur nagios, peut créer un lien hard, pour forcer /etc/init.d/nagios de Nagios à changer le propriétaire d'un fichier appartenant à root.
Produits concernés : Nagios Open Source, openSUSE Leap, SUSE Linux Enterprise Desktop, SLES.
Gravité : 1/4.
Conséquences : accès/droits privilégié.
Provenance : shell privilégié.
Date création : 02/01/2017.
Références : CVE-2016-10089, openSUSE-SU-2018:3258-1, SUSE-SU-2018:3240-1, VIGILANCE-VUL-21495.

Description de la vulnérabilité

Un attaquant local avec les privilèges de l'utilisateur nagios, peut créer un lien hard, pour forcer /etc/init.d/nagios de Nagios à changer le propriétaire d'un fichier appartenant à root.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2016-9566

Nagios : élévation de privilèges

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions de Nagios, afin d'élever ses privilèges.
Produits concernés : Debian, Nagios Open Source, openSUSE Leap, Ubuntu.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié.
Provenance : shell utilisateur.
Date création : 08/12/2016.
Date révision : 16/12/2016.
Références : CERTFR-2016-AVI-399, CVE-2016-9566, DLA-1615-1, DLA-751-1, openSUSE-SU-2017:0146-1, USN-3253-1, USN-3253-2, VIGILANCE-VUL-21328.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions de Nagios, afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique CVE-2016-9565

Nagios Open Source : exécution de code via l'interface RSS

Synthèse de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité via une classe gérant RSS dans Nagios Open Source, afin d'exécuter du code.
Produits concernés : Debian, Nagios Open Source.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié, accès/droits utilisateur.
Provenance : client intranet.
Date création : 15/12/2016.
Références : CVE-2016-9565, DLA-751-1, VIGILANCE-VUL-21395.

Description de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité via une classe gérant RSS dans Nagios Open Source, afin d'exécuter du code. Le problème est une mauvaise correction de VIGILANCE-VUL-12742, correspondant à VIGILANCE-VUL-16794.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Nagios Core :