В системе мониторинга Centreon выявлены критические уязвимости
Исправления безопасности в настоящий момент недоступны.
Как выяснили независимые исследователи безопасности, популярная бесплатная система мониторинга Centreon была уязвимой к хакерским атакам в течение нескольких последних лет.
С 2008 года в версиях программы с 2.0 по 2.5.2 включительно находилось две бреши, позволяющие, среди прочего, выполнить произвольный код на атакуемой системе. При этом для успешного нападения не нужно проходить процесс аутентификации.
Одна из брешей (CVE-2014-3828) предоставляет возможность осуществить подстановку SQL-запросов путем передачи определенных POST-запросов к тем сценариям, которые доступны публично.
Вторая уязвимость (CVE-2014-3829) позволяет удаленно выполнить произвольный код на целевой системе, однако для этого необходимо, чтобы аутентифицированный пользователь воспользовался web-интерфейсом Centreon. Кроме того, для компрометации системы злоумышленникам необходимо направить к сценарию displayServiceStatus.php специально сформированный запрос.
В настоящий момент разработчики еще не выпустили исправления безопасности для данных брешей.
Источник: securitylab.ru