Bulletin d'alerte Debian

DSA-1883-1 nagios2 -- Absence de vérification des entrées

Date du rapport :
10 septembre 2009
Paquets concernés :
nagios2
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 448371, Bogue 482445, Bogue 485439.
Dans le dictionnaire CVE du Mitre : CVE-2007-5624, CVE-2007-5803, CVE-2008-1360.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Nagios 2, un système de surveillance et de gestion d'hôtes, services et réseaux. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

Plusieurs problèmes de script intersite à l'aide de plusieurs paramètres ont été découverts dans les scripts CGI, permettant à des attaquants d'injecter du code HTML arbitraire. Afin de couvrir les différents vecteurs d'attaque, ces problèmes ont été assignés à CVE-2007-5624, CVE-2007-5803 et CVE-2008-1360.

Pour la distribution oldstable (Etch), ces problèmes ont été corrigés dans la version 2.6-2+etch4.

La distribution stable (Lenny) ne propose pas nagios2 et nagios3 n'est pas concerné par ces problèmes.

Les distributions testing (Squeeze) et unstable (Sid) ne proposent pas nagios2 et nagios3 n'est pas concerné par ces problèmes.

Nous vous recommandons de mettre à jour vos paquets nagios2.

Corrigé dans :

Debian GNU/Linux 4.0 (etch)

Source :
http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch4.diff.gz
http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6.orig.tar.gz
http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch4.dsc
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/n/nagios2/nagios2-doc_2.6-2+etch4_all.deb
http://security.debian.org/pool/updates/main/n/nagios2/nagios2-common_2.6-2+etch4_all.deb
Alpha:
http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch4_alpha.deb
http://security.debian.org/pool/updates/main/n/nagios2/nagios2-dbg_2.6-2+etch4_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/n/nagios2/nagios2-dbg_2.6-2+etch4_amd64.deb
http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch4_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/n/nagios2/nagios2-dbg_2.6-2+etch4_arm.deb
http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch4_arm.deb
HP Precision:
http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch4_hppa.deb
http://security.debian.org/pool/updates/main/n/nagios2/nagios2-dbg_2.6-2+etch4_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/n/nagios2/nagios2-dbg_2.6-2+etch4_i386.deb
http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch4_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch4_ia64.deb
http://security.debian.org/pool/updates/main/n/nagios2/nagios2-dbg_2.6-2+etch4_ia64.deb
Big-endian MIPS:
http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch4_mips.deb
http://security.debian.org/pool/updates/main/n/nagios2/nagios2-dbg_2.6-2+etch4_mips.deb
Little-endian MIPS:
http://security.debian.org/pool/updates/main/n/nagios2/nagios2-dbg_2.6-2+etch4_mipsel.deb
http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch4_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch4_powerpc.deb
http://security.debian.org/pool/updates/main/n/nagios2/nagios2-dbg_2.6-2+etch4_powerpc.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/n/nagios2/nagios2_2.6-2+etch4_sparc.deb
http://security.debian.org/pool/updates/main/n/nagios2/nagios2-dbg_2.6-2+etch4_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.