В системе мониторинга Centreon выявлены критические уязвимости

Исправления безопасности в настоящий момент недоступны.

Как  выяснили  независимые исследователи безопасности, популярная бесплатная система мониторинга Centreon была уязвимой к хакерским атакам в течение нескольких последних лет.

С 2008 года в версиях программы с 2.0 по 2.5.2 включительно находилось две бреши, позволяющие, среди прочего, выполнить произвольный код на атакуемой системе. При этом для успешного нападения не нужно проходить процесс аутентификации.

Одна из брешей (CVE-2014-3828) предоставляет возможность осуществить подстановку SQL-запросов путем передачи определенных POST-запросов к тем сценариям, которые доступны публично.

Вторая уязвимость (CVE-2014-3829) позволяет удаленно выполнить произвольный код на целевой системе, однако для этого необходимо, чтобы аутентифицированный пользователь воспользовался web-интерфейсом Centreon. Кроме того, для компрометации системы злоумышленникам необходимо направить к сценарию displayServiceStatus.php специально сформированный запрос.

В настоящий момент разработчики еще не выпустили исправления безопасности для данных брешей.