发布日期：2002-07-06
更新日期：2002-07-15

受影响系统：

Nagios Nagios 1.0 b3
Nagios Nagios 1.0 b2
Nagios Nagios 1.0 b1
    - Linux系统  
    - Unix系统

不受影响系统：

Nagios Nagios 1.0 b4

描述：

---

BUGTRAQ  ID: 5174
CVE(CAN) ID: CVE-2002-1959

Nagios是一款免费开放源代码的主机和服务监视软件，可使用在多种Linux和Unix操作系统下。

Nagios服务程序对插件发送的恶意数据缺少正确的过滤，远程攻击者可以利用这个漏洞在系统上以Nagios进程的权限在系统上执行任意命令。

攻击者可以产生一事件引起插件发送恶意格式的数据给Nagios服务器，由于Nagios服务程序对包含的数据缺少正确的过滤，如果数据中包含元字符和任意命令，当接收解析这个数据时，包含在元字符之间的任意命令将以Nagios进程的权限在系统上执行。

<**>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 暂时没有合适的临时解决方法。

厂商补丁：

Nagios
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

Nagios Upgrade nagios-1.0b4.tar.gz
http://prdownloads.sourceforge.net/nagios/nagios-1.0b4.tar.gz?download

浏览次数：3048
严重程度：0（网友投票）