zurück zum Artikel

Der "Nagios Remote Plugin Executor" führt unter Umständen eingeschleuste Befehle aus. Diese Umstände deuten allerdings schon auf eine generell unsichere Konfiguration hin.

In einem Sicherheits-Advisory warnt Dawid Golunski vor einem ernsten Problem des Nagios Remote Plugin Executor (NPRE) [2], einer beliebten Erweiterung des Netzwerk-Monitoring-Toolkits Nagios. Via NPRE [3] kann man übers Netz vordefinierte Nagios-Plugins ausführen; das kommt oft zum Einsatz, um bestimmte lokale Informationen abzurufen. Baut ein Angreifer die Kommandozeilenparameter zum Aufruf eines solchen Moduls ein Newline-zeichen ein (\n), kann er darüber beliebige Befehle einschleusen und ausführen.

Betroffen ist NRPE bis Version 2. 15 wenn folgende Voraussetzungen erfüllt sind:

• Der Angreifer kann mit dem NRPE-Dienst sprechen. Das kann einem lokalen Netz durchaus der Fall sein; für externe Angreifer sollte das nicht ohne weiteres möglich sein.
• In der Konfiguration in nrpe.cfg wurde die Übergabe von Parametern explizit mit dont_blame_nrpe=1 aktiviert; davor wird wegen der damit verbundenen Risiken an vielen Stellen gewarnt. Allerdings gibt es viele Tutorials, die es trotzdem empfehlen [4].

Ein vorgeschlagener Fix nimmt das Newline-Zeichen in die Liste der NASTY_METACHARS [5] auf. Das Debian-Team arbeitet bereits an Updates [6]. Als Workaround bis zur Installation einer gefixten Version, kann man sich schützen, indem man die zu übergebenden Argumente in der Konfig-Datei in Anführungszeichen [7] setzt. (ju [8])

URL dieses Artikels:
https://www.heise.de/-2174201

Links in diesem Artikel:
[1] http://nagios.sourceforge.net/docs/3_0/addons.html
[2] http://seclists.org/fulldisclosure/2014/Apr/240
[3] http://nagios.sourceforge.net/docs/3_0/addons.html
[4] http://wiki.novell.com/index.php/SUSE_Manager/Nagios
[5] http://seclists.org/oss-sec/2014/q2/129
[6] https://www.mail-archive.com/debian-bugs-dist@lists.debian.org/msg1213007.html#
[7] http://seclists.org/oss-sec/2014/q2/155
[8] mailto:ju@ct.de

Copyright © 2014 Heise Medien