BULLETIN DE SÉCURITÉ NAGIOS DU 10 JUIN 2021

5/5 - (1 vote)

BULLETIN DE SÉCURITÉ NAGIOS DU 10 JUIN 2021

Journal des récentes modifications apportées à Nagios XI.

Cette mise à jour de sécurité corrige de nombreuses vulnérabilités dans getprofile.sh et restore_xi.sh. elle corrige aussi des vulnérabilités d’injection SQL et de sécurité XSS. (Sources)

Mise à jour de getprofile.sh pour supprimer le dossier d’un nouveau profil avant de générer le contenu. Correction de l’installation sur les nouveaux systèmes Debian 9 en raison de la version pip par défaut [TPS#15535]. Correction de problèmes avec logrotate. Correction de la valeur getprofile.sh db_host pour extraire correctement de config.inc.php

Correction d’une vulnérabilité dans getprofile.sh qui n’efface pas le répertoire avant de créer le profil. Correction de restore_xi.sh utilisant le chemin de répertoire relatif. Correction d’une vulnérabilité d’injection SQL dans Bulk Modifications Tool

Correction d’une vulnérabilité de sécurité XSS dans la section à propos. Correction de l’option “utiliser” pour s’appliquer correctement lors de l’utilisation du point de terminaison de l’API config/contacts. Correction d’un problème de sécurité pour la configuration lors de la mise à niveau du système [TPS#15551]

Multiples vulnérabilités dans Nagios XI

De multiples vulnérabilités ont été découvertes dans Nagios XI. Elles permettent à un attaquant de provoquer un problème de sécurité non spécifié par l’éditeur et une injection de code indirecte à distance (XSS). (Sources)


Code arbitraire est employé pour nommer, en parlant de piratage informatique, une action à faire faire à une machine sans que le propriétaire soit d'accord. Par exemple, en utilisant un exploit, le code arbitraire peut ouvrir une session super-utilisateur sur une machine distante, ou modifier une base de données, ou plus généralement donner accès à une information non disponible.

Les pirates s'intéressent plus particulièrement aux vulnérabilités critiques des logiciels et des systèmes d'exploitation. Ces failles permettent généralement d'obtenir des droits d'administrateur afin d'autoriser l'exécution de code arbitraire à distance à l'insu des victimes.


Le cross-site scripting (abrégé XSS), est un type de faille de sécurité des sites web permettant d'injecter du contenu dans une page, permettant ainsi de provoquer des actions sur les navigateurs web visitant la page. Les possibilités des XSS sont très larges puisque l'attaquant peut utiliser tous les langages pris en charge par le navigateur (JavaScript, Java, Flash...) et de nouvelles possibilités sont régulièrement découvertes notamment avec l'arrivée de nouvelles technologies comme HTML5. Il est par exemple possible de rediriger vers un autre site pour de l'hameçonnage ou encore de voler la session en récupérant les cookies.

En exploitant les failles critiques Zero-Day, les cybercriminels lancent des attaques XSS dans le but d'insérer des scripts malveillants dans les sites internet. Les navigateurs sont incapables de distinguer l'origine des balises malwares de celles qui sont légitimes. Cette action donne aux pirates un accès complet aux informations confidentielles enregistrées par les internautes dans l'historique et les cookies de navigation.


SQL est un langage informatique créé en 1974  et normalisé servant à exploiter des bases de données relationnelles. La partie langage de manipulation des données de SQL permet de rechercher, d'ajouter, de modifier ou de supprimer des données dans les bases de données relationnelles. Outre le langage de manipulation des données, le langage de définition des données permet de créer et de modifier l'organisation des données dans la base de données. Ce langage est  utilisé par un nombre très important d'applications et d'organisations.


Nagios est une application permettant la surveillance système et réseau. Elle surveille les hôtes et services spécifiés, alertant lorsque les systèmes ont des dysfonctionnements et quand ils repassent en fonctionnement normal. C'est un logiciel libre sous licence GPL.

Retour haut de page