Bulletin d'alerte Debian

DLA-751-1 nagios3 -- Mise à jour de sécurité pour LTS

Date du rapport :
17 décembre 2016
Paquets concernés :
nagios3
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2016-9565, CVE-2016-9566.
Plus de précisions :

Il a été découvert que Nagios était vulnérable à deux problèmes de sécurité qui, lorsqu'ils sont combinés, mènent à une vulnérabilité d'exécution distante de code par le superutilisateur. Heureusement, le renforcement des permissions du paquet Debian limite leur effet à une divulgation d'informations, mais une élévation de privilèges à ceux du superutilisateur est encore possible localement.

  • CVE-2016-9565

    Une vérification incorrecte des entrées de flux RSS permet la lecture et l'écriture à distance sans authentification de fichiers arbitraires, ce qui pourrait conduire à une exécution distante de code si le répertoire web racine est accessible en écriture.

  • CVE-2016-9566

    Un traitement non sûr du fichier de journalisation permet à des utilisateurs non privilégiés d'élever leurs privilèges à ceux du superutilisateur. Dans Wheezy, Cela n'est possible qu'à travers le fichier journal de débogage qui est désactivé par défaut.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 3.4.1-3+deb7u3.

Nous vous recommandons de mettre à jour vos paquets nagios3.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.