Nagios Remote Plugin Executor （NRPE） nrpe.c不完整黑名单漏洞

发布日期：2014-05-07
更新日期：2014-05-08受影响系统：
Nagios Nagios Remote Plugin Executor （NRPE） <= 2.15
描述：
--------------------------------------------------------------------------------
CVE（CAN） ID: CVE-2014-2913

Nagios是开源计算机系统监控、网络监控和架构监控软件。

Nagios Remote Plugin Executor （NRPE） 2.15及之前版本的nrpe.c存在不完整黑名单漏洞，这可使远程攻击者通过libexec/check_nrpe的-a选项中的新行字符，利用此漏洞执行任意命令。
相关阅读：网络监控器Nagios全攻略 http://www.linuxidc.com/Linux/2013-07/87067.htmNagios搭建与配置详解 http://www.linuxidc.com/Linux/2013-05/84848.htmNginx环境下构建Nagios监控平台 http://www.linuxidc.com/Linux/2011-07/38112.htm在RHEL5.3上配置基本的Nagios系统（使用Nagios-3.1.2） http://www.linuxidc.com/Linux/2011-07/38129.htmCentOS 5.5+Nginx+Nagios监控端和被控端安装配置指南 http://www.linuxidc.com/Linux/2011-09/44018.htmUbuntu 13.10 Server 安装 Nagios Core 网络监控运用 http://www.linuxidc.com/Linux/2013-11/93047.htm
<*来源：vendor
*>建议：
--------------------------------------------------------------------------------
厂商补丁：

Nagios
------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.nagios.org/

参考：
http://lists.opensuse.org/opensuse-updates/2014-05/msg00014.html
http://lists.opensuse.org/opensuse-updates/2014-05/msg00005.html
http://seclists.org/fulldisclosure/2014/Apr/242Nagios 的详细介绍：请点这里
Nagios 的下载地址：请点这里