| Title | Nagios Core および Icinga におけるプロセスメモリから重要な情報を取得される脆弱性 |
|---|---|
| Summary | Nagios Core および Icinga には、一つずれエラー (Off-by-One error) により、プロセスメモリから重要な情報を取得される、またはサービス運用妨害 (クラッシュ) 状態にされる脆弱性が存在します。 |
| Possible impacts | リモート認証されたユーザにより、下記の項目内の process_cgivars 関数の変数リストの最後の key 値の過度に長い文字列を介して、ヒープベースのバッファオーバーリードを誘発されることで、プロセスメモリから重要な情報を取得される、またはサービス運用妨害 (クラッシュ) 状態にされる可能性があります。 (1) avail.c (2) cmd.c (3) config.c (4) extinfo.c (5) histogram.c (6) notifications.c (7) outages.c (8) status.c (9) statusmap.c (10) summary.c (11) cgi/ の trends.c |
| Solution | ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | Dec. 17, 2013, midnight |
| Registration Date | Jan. 16, 2014, 5:52 p.m. |
| Last Update | Jan. 16, 2014, 5:52 p.m. |
| CVSS2.0 : 警告 | |
| Score | 5.5 |
|---|---|
| Vector | AV:N/AC:L/Au:S/C:P/I:N/A:P |
| Nagios Enterprises, LLC |
| Nagios Core 3.5.1 およびそれ以前 |
| Nagios Core 4.0.2 およびそれ以前 |
| The Icinga Project |
| Icinga 1.10.2 未満の 1.10 |
| Icinga 1.8.5 未満 |
| Icinga 1.9.4 未満の 1.9 |
| No | Changed Details | Date of change |
|---|---|---|
| 0 | [2014年01月16日] 掲載 |
Feb. 17, 2018, 10:37 a.m. |
| Summary | Multiple off-by-one errors in Nagios Core 3.5.1, 4.0.2, and earlier, and Icinga before 1.8.5, 1.9 before 1.9.4, and 1.10 before 1.10.2 allow remote authenticated users to obtain sensitive information from process memory or cause a denial of service (crash) via a long string in the last key value in the variable list to the process_cgivars function in (1) avail.c, (2) cmd.c, (3) config.c, (4) extinfo.c, (5) histogram.c, (6) notifications.c, (7) outages.c, (8) status.c, (9) statusmap.c, (10) summary.c, and (11) trends.c in cgi/, which triggers a heap-based buffer over-read. |
|---|---|
| Publication Date | Jan. 16, 2014, 1:08 a.m. |
| Registration Date | Jan. 26, 2021, 3:49 p.m. |
| Last Update | Nov. 21, 2024, 11 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:nagios:nagios:3.0:alpha3:*:*:*:*:*:* | |||||
| cpe:2.3:a:nagios:nagios:3.1.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:nagios:nagios:3.0:rc3:*:*:*:*:*:* | |||||
| cpe:2.3:a:nagios:nagios:3.0:beta4:*:*:*:*:*:* | |||||
| cpe:2.3:a:nagios:nagios:3.0:alpha5:*:*:*:*:*:* | |||||
| cpe:2.3:a:nagios:nagios:3.2.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:nagios:nagios:3.2.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:nagios:nagios:3.1.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:nagios:nagios:3.0.6:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:nagios:nagios:3.0:alpha2:*:*:*:*:*:* | |||||
| cpe:2.3:a:nagios:nagios:3.0.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:nagios:nagios:3.0:beta5:*:*:*:*:*:* | |||||
| cpe:2.3:a:nagios:nagios:3.4.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:nagios:nagios:3.0:rc1:*:*:*:*:*:* | |||||
| cpe:2.3:a:nagios:nagios:3.0.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:nagios:nagios:3.1.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:nagios:nagios:3.0:beta2:*:*:*:*:*:* | |||||
| cpe:2.3:a:nagios:nagios:3.0:beta7:*:*:*:*:*:* | |||||
| cpe:2.3:a:nagios:nagios:3.0:rc2:*:*:*:*:*:* | |||||
| cpe:2.3:a:nagios:nagios:*:*:*:*:*:*:*:* | 4.0.2 | ||||
| cpe:2.3:a:nagios:nagios:3.4.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:nagios:nagios:3.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:nagios:nagios:3.4.3:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:nagios:nagios:3.5.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:nagios:nagios:3.0.4:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:nagios:nagios:3.0:alpha1:*:*:*:*:*:* | |||||
| cpe:2.3:a:nagios:nagios:3.0:beta6:*:*:*:*:*:* | |||||
| cpe:2.3:a:nagios:nagios:3.0:alpha4:*:*:*:*:*:* | |||||
| cpe:2.3:a:nagios:nagios:3.2.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:nagios:nagios:3.0:beta1:*:*:*:*:*:* | |||||
| cpe:2.3:a:nagios:nagios:3.0:beta3:*:*:*:*:*:* | |||||
| cpe:2.3:a:nagios:nagios:3.0.3:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:nagios:nagios:3.2.3:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:nagios:nagios:3.3.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:nagios:nagios:3.0.5:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:nagios:nagios:3.4.0:*:*:*:*:*:*:* | |||||
| Configuration2 | or higher | or less | more than | less than | |
| cpe:2.3:a:icinga:icinga:0.8.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:icinga:icinga:0.8.4:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:icinga:icinga:1.9.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:icinga:icinga:1.0.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:icinga:icinga:1.9.3:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:icinga:icinga:1.2.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:icinga:icinga:0.8.3:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:icinga:icinga:1.9.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:icinga:icinga:1.6.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:icinga:icinga:1.7.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:icinga:icinga:0.8.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:icinga:icinga:1.3.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:icinga:icinga:1.7.4:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:icinga:icinga:1.8.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:icinga:icinga:1.8.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:icinga:icinga:0.8.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:icinga:icinga:*:*:*:*:*:*:*:* | 1.8.4 | ||||
| cpe:2.3:a:icinga:icinga:1.7.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:icinga:icinga:1.0.3:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:icinga:icinga:1.3.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:icinga:icinga:1.4.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:icinga:icinga:1.7.3:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:icinga:icinga:1.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:icinga:icinga:1.8.3:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:icinga:icinga:1.8.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:icinga:icinga:1.6.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:icinga:icinga:1.0:rc1:*:*:*:*:*:* | |||||
| cpe:2.3:a:icinga:icinga:1.6.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:icinga:icinga:1.9.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:icinga:icinga:1.4.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:icinga:icinga:1.10.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:icinga:icinga:1.2.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:icinga:icinga:1.0.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:icinga:icinga:1.7.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:icinga:icinga:1.10.0:*:*:*:*:*:*:* | |||||