форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Критические уязвимости в системе мониторинга Centreon"	+/–
Сообщение от opennews on 18-Окт-14, 11:11
Во всех версиях свободной (https://github.com/centreon/centreon) системы мониторинга Centreon (http://www.centreon.com/), выпущенных с 2008 года (с 2.0 по 2.5.2 включительно), выявлены (http://seclists.org/fulldisclosure/2014/Oct/78) критические уязвимости, которые могут быть эксплуатированы без  прохождения аутентификации любым анонимным пользователем: -  CVE-2014-3828 - возможность подстановки SQL-запросов. Проблема эксплуатируется через передачу POST-запросов вида "mnftr_id=1 or 1=1 union all select version(),2 -- /**" или "index=2' or 1=1 -- /**" к публично доступным скриптам. -  CVE-2014-3829 - возможность удалённого выполнения команд на сервере. Для работы эксплоита требуется чтобы после атаки, хотябы один аутентифицированный пользователь обратился к web-интерфейсу. Техника атаки сводится к передаче специально оформленного запроса к скрипту displayServiceStatus.php, который приводит к помещению в БД данных, которые будут переданы в качестве аргумента при построении графика без выполнения операций экранирования спецсимволов (можно указать ";ls"). Обновление с устранением уязвимостей пока не выпущены (http://www.centreon.com/Content-Download/download-centreon-s...). URL: http://seclists.org/fulldisclosure/2014/Oct/78 Новость: https://www.opennet.ru/opennews/art.shtml?num=40863
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Критические уязвимости в системе мониторинга Centreon"	+/–
Сообщение от Анонко on 18-Окт-14, 11:11
Выложите эксплоиты, плиз
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Критические уязвимости в системе мониторинга Centreon"	+1 +/–
Сообщение от Аноним (??) on 18-Окт-14, 11:54
Я и не слышал об таком продукте, PHP кодеры должны страдать.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	4. "Критические уязвимости в системе мониторинга Centreon"	+5 +/–
	Сообщение от Аноним (??) on 18-Окт-14, 14:05
	Да вон бидонисты с moinmoin тоже обосpaлись, с брызгами. В багзилле поимели перловку. А shellshock поимел целую толпу. Так что если хомячок корчит из себя гордого суслика - большой вопрос что там вскрытие покажет насчет схожести устройства оного с сусликом.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "Критические уязвимости в системе мониторинга Centreon"	+27 +/–
Сообщение от vitalif (ok) on 18-Окт-14, 12:14
Самое интересное в этой новости, очевидно, то, что мы все только что узнали о новой системе мониторинга...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	17. "Критические уязвимости в системе мониторинга Centreon"	+1 +/–
	Сообщение от Sadok (ok) on 20-Окт-14, 10:26
	> Самое интересное в этой новости, очевидно, то, что мы все только что > узнали о новой системе мониторинга... Это не новое. Это обертка к нагиосу
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Критические уязвимости в системе мониторинга Centreon"	+/–
Сообщение от Sw00p aka Jerom on 18-Окт-14, 14:50
>>который приводит к помещению в БД данных, которые будут переданы в качестве аргумента при построении графика без выполнения операций экранирования спецсимволов хохохохо банальный exec rrdtool )) PECL/rrd - не не слышал
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	6. "Критические уязвимости в системе мониторинга Centreon"	–3 +/–
	Сообщение от Нанобот (ok) on 18-Окт-14, 23:10
	это же юниксвэй - вызывать бинарники при каждом чихе! чем больше бинарников - тем лучше, желательно ещё скреплять вызовы магическими знаками типа "|", "&&" и "||". интеграция на уровне библиотек - это происки корпораций с целью осквернить сей священный путь!
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	8. "Критические уязвимости в системе мониторинга Centreon"	+/–
	Сообщение от Аноним (??) on 19-Окт-14, 14:12
	Интеграция на уровне библиотек? Какие еще умные слова ты знаешь? И вообще, в юниксе испокон веков были разделяемые объектные файлы (.so). А вот копировать одну и ту же либо во все проги, вместо одной библы в /usr/local/lib - это да, происки корпораций
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	9. "Критические уязвимости в системе мониторинга Centreon"	+/–
	Сообщение от Аноним (??) on 19-Окт-14, 14:29
	> библы в /usr/local/lib Паааааалегче на повоторах. Это у кого там в local либы валяются? Отучаемся говорить за всех.
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	11. "Критические уязвимости в системе мониторинга Centreon"	+/–
	Сообщение от Аноним (??) on 19-Окт-14, 14:41
	Ну у вас в линуксах библы валяются в /usr/lib, /lib и еще черти где.
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	12. "Критические уязвимости в системе мониторинга Centreon"	–1 +/–
	Сообщение от Аноним (??) on 19-Окт-14, 15:13
	> Ну у вас в линуксах библы валяются в /usr/lib, /lib и еще черти где. И правда, /lib не айс, то ли дело /usr/local/long/vehicle/verrrryyyy/looooongggg/veeeehiiicccleee/lib
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	13. "Критические уязвимости в системе мониторинга Centreon"	–1 +/–
	Сообщение от edwin3d (ok) on 19-Окт-14, 16:02
	> это же юниксвэй - вызывать бинарники при каждом чихе! чем больше бинарников > - тем лучше, желательно ещё скреплять вызовы магическими знаками типа "|", > "&&" и "||". unix-way - это философия? при которой в руки разработчику дается вагон инструментов? каждый из которых делает что-то одно и делает это хорошо. Кроме того, даются инструменты их интеграции - причем в нескольких вариантах. Умение ими пользоваться показывает степень квалификации. А неумение/непонимание одним из способов вызывает вопли "магическими знаками"   > интеграция на уровне библиотек - это происки корпораций с целью осквернить сей > священный путь! Вы лукавите, делая вид, что не понимаете что при этом порождаются монстры с дикой архитектурой и необходимостью называть след версию не 9 а 10, поскольку унаследованный код написанный когда-то и который никто не удосужился выпилить из ОС перестанет работать
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	15. "Критические уязвимости в системе мониторинга Centreon"	+/–
	Сообщение от EuPhobos (ok) on 19-Окт-14, 18:54
	> ... при этом порождаются монстры с дикой архитектурой и необходимостью называть след версию не 9 а 10, поскольку унаследованный код написанный когда-то и который никто не удосужился выпилить из ОС перестанет работать А я то думал это просто анекдот.. вот наивный..
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

7. "Критические уязвимости в системе мониторинга Centreon"	–1 +/–
Сообщение от Аноним (??) on 19-Окт-14, 09:24
NOC (http://kb.nocproject.org/display/DOC/Introduction) - лучшая система мониторинга и управления!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	10. "Критические уязвимости в системе мониторинга Centreon"	+1 +/–
	Сообщение от Аноним (??) on 19-Окт-14, 14:37
	> NOC (http://kb.nocproject.org/display/DOC/Introduction) - лучшая система мониторинга > и управления! В номинации на самую тyпую организацию сайта они по любому получают первое место. За 5 минут я не смог найти ни 1) Человеческого даунлоада. 2) Исходных текстов. Зато у них есть: 1) Какая-то фигня в .ova (а почему не .pzq?!). С нулевыми инструкциями по применению. 2) Рассказы как все киздато. 3) пару ссылков на какие-то учебники по бидону. 4) некоторое количество рандомных заметок. 5) лулзы про поддержку Linux, а потом отдельно - CentOS. Наверное он не Linux. Или это такое SEO доморощеное. Что за инопланетяне это делают???
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	14. "Критические уязвимости в системе мониторинга Centreon"	+/–
	Сообщение от Аноним (??) on 19-Окт-14, 18:15
	> Что за инопланетяне это делают??? Роскосмос и Роскомнадзор
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	16. "Критические уязвимости в системе мониторинга Centreon"	+/–
	Сообщение от VolanD (ok) on 20-Окт-14, 05:37
	> NOC (http://kb.nocproject.org/display/DOC/Introduction) - лучшая система мониторинга > и управления! Падает каждые 5 минут+ доков нет
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	20. "Критические уязвимости в системе мониторинга Centreon"	+/–
	Сообщение от Sw00p aka Jerom on 20-Окт-14, 19:00
	поэтому пишу свою систему мониторинга со своим блекджеком
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	21. "Критические уязвимости в системе мониторинга Centreon"	+/–
	Сообщение от VolanD (ok) on 21-Окт-14, 06:35
	> поэтому пишу свою систему мониторинга со своим блекджеком Ну в принципе задумка NOCа мне нравится- запихать все управление сетью в одну софтину. Но им ее еще пилить и пилить ИМХО...
	Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема