05/18/2006
E' stata riscontrata una vulnerabilità in Nagios che potrebbe essere sfruttata da un utente remoto per causare un Denial of Service (DoS), o compromettere un sistema vulnerabile.
La falla è dovuta ad un integer overflow nella gestione dell' header HTTP 'Content-Length'. Attraverso l'invio di una richiesta HTTP, contenente un header HTTP 'Content-Length' creato ad hoc, è possibile causare un heap overflow ed eseguire codice arbitrario.
La vulnerabilità è stata riscontrata nelle versioni della serie 1.x e 2.x
Soluzione:
Per Nagios 1.x aggiornare alla versione 1.4.1;
Per Nagios 2.x aggiornare alla versione 2.3.1;
http://www.nagios.org/download/
Riferimenti:
http://www.nagios.org/development/changelog.php
http://www.nagios.org/development/changelog.php#1x_branch
http://secunia.com/advisories/20123/