CVE-2019-15949

Суть уязвимости

Злоумышленник с правами аутентифицированного пользователя (даже с низким уровнем привилегий) может изменить исполняемый файл плагина проверки (check_plugin), подставив в него произвольные команды. Эти команды затем будут выполнены с правами пользователя root при запуске соответствующей проверки службой Nagios.

Как исправить

Установите официальный патч от Nagios, Inc. Уязвимость устранена в версии Nagios XI 5.6.9 и выше.

1. Скачайте и установите полный пакет обновления: bash cd /tmp wget https://assets.nagios.com/downloads/nagiosxi/xi-latest.tar.gz tar xzf xi-latest.tar.gz cd nagiosxi ./fullinstall Примечание: Процесс обновления может занять продолжительное время. Перед запуском убедитесь, что у вас есть актуальная резервная копия системы.

2. Проверьте версию после установки: bash cat /usr/local/nagiosxi/var/xiversion Убедитесь, что отображается версия 5.6.9 или новее.

Временное решение

Если немедленное обновление невозможно, примените следующие ограничивающие меры:

1. Ограничьте права на запись для критичных файлов. Отнимите права на запись у пользователей Nagios для всех исполняемых плагинов проверок: bash chmod -R o-w /usr/local/nagios/libexec/ Внимание: Это может нарушить работу легитимных пользовательских плагинов. Тщательно протестируйте.

2. Ужесточите контроль доступа. Пересмотрите и минимизируйте список пользователей, имеющих доступ к веб-интерфейсу Nagios XI, особенно с правами на изменение конфигураций и плагинов.

3. Настройте сегментацию сети. Ограничьте доступ к веб-интерфейсу Nagios XI (порт 80/443) только с доверенных IP-адресов администраторов с помощью межсетевого экрана (например, iptables или nftables).