Sinon dans le genre constructif, la disclosure date ne correspond pas au
0day qu'on peut exploiter, d'où le nom 0day en fait...
Le 14/06/2013 16:22, Snarf a écrit :
Le vendredi 14 juin 2013 à 16:17, nap écrivait:
[SNIP]
Il faut en plus que les arguments soient autorisés à lui être passés, or le
paramètre est juste en dessous d'un gros commentaire qui déconseille
fortement de le faire, justement pour éviter ce genre de soucis...
et faut que ce soit bash qui execute le plugin et que la version de nrpe
soit la n-1. (le CVE est pour la 2.13, la 2.14 qui n'est pas vuln est sortie
deux
mois avant)
Snarf
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/
