CVE-2013-7205

medium
New! CVE Severity Now Using CVSS v3

The calculated severity for CVEs has been updated to use CVSS v3 by default. CVEs that do not have a CVSS v3 score will fall back CVSS v2 for calculating severity. Severity display preferences can be toggled in the settings dropdown.

Description

Off-by-one error in the process_cgivars function in contrib/daemonchk.c in Nagios Core 3.5.1, 4.0.2, and earlier allows remote authenticated users to obtain sensitive information from process memory or cause a denial of service (crash) via a long string in the last key value in the variable list, which triggers a heap-based buffer over-read.

References

http://secunia.com/advisories/55976

http://sourceforge.net/p/nagios/nagioscore/ci/d97e03f32741a7d851826b03ed73ff4c9612a866/

http://www.mandriva.com/security/advisories?name=MDVSA-2014:004

http://www.openwall.com/lists/oss-security/2013/12/24/1

http://www.securityfocus.com/bid/64489

https://lists.debian.org/debian-lts-announce/2018/12/msg00014.html

Details

Source: MITRE

Published: 2014-01-15

Updated: 2018-12-25

Type: CWE-119

Risk Information

CVSS v2

Base Score: 6.4

Vector: AV:N/AC:L/Au:N/C:P/I:N/A:P

Impact Score: 4.9

Exploitability Score: 10

Severity: MEDIUM

Vulnerable Software

Configuration 1

OR

cpe:2.3:a:nagios:nagios:3.0:*:*:*:*:*:*:*

cpe:2.3:a:nagios:nagios:3.0:alpha1:*:*:*:*:*:*

cpe:2.3:a:nagios:nagios:3.0:alpha2:*:*:*:*:*:*

cpe:2.3:a:nagios:nagios:3.0:alpha3:*:*:*:*:*:*

cpe:2.3:a:nagios:nagios:3.0:alpha4:*:*:*:*:*:*

cpe:2.3:a:nagios:nagios:3.0:alpha5:*:*:*:*:*:*

cpe:2.3:a:nagios:nagios:3.0:beta1:*:*:*:*:*:*

cpe:2.3:a:nagios:nagios:3.0:beta2:*:*:*:*:*:*

cpe:2.3:a:nagios:nagios:3.0:beta3:*:*:*:*:*:*

cpe:2.3:a:nagios:nagios:3.0:beta4:*:*:*:*:*:*

cpe:2.3:a:nagios:nagios:3.0:beta5:*:*:*:*:*:*

cpe:2.3:a:nagios:nagios:3.0:beta6:*:*:*:*:*:*

cpe:2.3:a:nagios:nagios:3.0:beta7:*:*:*:*:*:*

cpe:2.3:a:nagios:nagios:3.0:rc1:*:*:*:*:*:*

cpe:2.3:a:nagios:nagios:3.0:rc2:*:*:*:*:*:*

cpe:2.3:a:nagios:nagios:3.0:rc3:*:*:*:*:*:*

cpe:2.3:a:nagios:nagios:3.0.1:*:*:*:*:*:*:*

cpe:2.3:a:nagios:nagios:3.0.2:*:*:*:*:*:*:*

cpe:2.3:a:nagios:nagios:3.0.3:*:*:*:*:*:*:*

cpe:2.3:a:nagios:nagios:3.0.4:*:*:*:*:*:*:*

cpe:2.3:a:nagios:nagios:3.0.5:*:*:*:*:*:*:*

cpe:2.3:a:nagios:nagios:3.0.6:*:*:*:*:*:*:*

cpe:2.3:a:nagios:nagios:3.1.0:*:*:*:*:*:*:*

cpe:2.3:a:nagios:nagios:3.1.1:*:*:*:*:*:*:*

cpe:2.3:a:nagios:nagios:3.1.2:*:*:*:*:*:*:*

cpe:2.3:a:nagios:nagios:3.2.0:*:*:*:*:*:*:*

cpe:2.3:a:nagios:nagios:3.2.1:*:*:*:*:*:*:*

cpe:2.3:a:nagios:nagios:3.2.2:*:*:*:*:*:*:*

cpe:2.3:a:nagios:nagios:3.2.3:*:*:*:*:*:*:*

cpe:2.3:a:nagios:nagios:3.3.1:*:*:*:*:*:*:*

cpe:2.3:a:nagios:nagios:3.4.0:*:*:*:*:*:*:*

cpe:2.3:a:nagios:nagios:3.4.1:*:*:*:*:*:*:*

cpe:2.3:a:nagios:nagios:3.4.2:*:*:*:*:*:*:*

cpe:2.3:a:nagios:nagios:3.4.3:*:*:*:*:*:*:*

cpe:2.3:a:nagios:nagios:3.5.1:*:*:*:*:*:*:*

cpe:2.3:a:nagios:nagios:*:*:*:*:*:*:*:* versions up to 4.0.2 (inclusive)

Tenable Plugins

View all (7 total)

IDNameProductFamilySeverity
119875Debian DLA-1615-1 : nagios3 security updateNessusDebian Local Security Checks
high
103651Amazon Linux AMI : nagios (ALAS-2017-899)NessusAmazon Linux Local Security Checks
critical
100677Ubuntu 14.04 LTS / 16.04 LTS / 16.10 / 17.04 : nagios3 regression (USN-3253-2)NessusUbuntu Local Security Checks
high
99182Ubuntu 14.04 LTS / 16.04 LTS / 16.10 : nagios3 vulnerabilities (USN-3253-1)NessusUbuntu Local Security Checks
high
79976GLSA-201412-23 : Nagios: Multiple vulnerabilitiesNessusGentoo Local Security Checks
high
72019Mandriva Linux Security Advisory : nagios (MDVSA-2014:004)NessusMandriva Local Security Checks
medium
71961FreeBSD : nagios -- denial of service vulnerability (ba04a373-7d20-11e3-8992-00132034b086)NessusFreeBSD Local Security Checks
medium