Dawid Golunski warnt in einem Sicherheits-Advisory vor einem ernsten Problem des Nagios Remote Plugin Executor (NPRE), einer beliebten Erweiterung des Netzwerk-Monitoring-Toolkits Nagios. Via NPRE kann man vordefinierte Nagios-Plugins übers Netz ausführen; um bestimmte lokale Informationen abzurufen kommt das oft zum Einsatz. Ein Angreifer kann darüber beliebige Befehle einschleusen und ausführen, wenn er die Kommandozeilenparameter zum Aufruf eines solchen Moduls in ein Newline-zeichen (\n) einbaut. Via NRPE kann man Ressourcen auf externen Systemen überwachen.

Bis Version 2. 15 ist NRPE betroffen, wenn folgende Voraussetzungen erfüllt sind:

* Der Angreifer kann mit dem NRPE-Dienst sprechen. In einem lokalen Netz kann das durchaus der Fall sein; ohne weiteres möglich sollte das für externe Angreifer nicht sein.
* Die Übergabe von Parametern wurde in der Konfiguration in nrpe.cfg explizit mit dont_blame_nrpe=1 aktiviert; wegen der damit verbundenen Risiken wird davor an vielen Stellen gewarnt. Allerdings gibt es viele Tutorials, die es trotzdem empfehlen.

Ein vorgeschlagener Fix nimmt das Newline-Zeichen in die Liste der NASTY_METACHARS auf. Das Debian-Team arbeitet bereits an Updates. Bis zur Installation einer gefixten Version kann man sich schützen, indem man in der Konfig-Datei die zu übergebenden Argumente in Anführungszeichen setzt.

(mt, hannover)

(siehe auch Heise-News Ticker :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE