Vulnerabilidad en "Big Brother"


Con un simple navegador es posible acceder, de forma remota, a cualquier fichero de los servidores que tengan instalado el sistema de monitorización "Big Brother", en sus versiones 1.4h y anteriores.

"Big Brother" es un sistema para monitorizar la disponibilidad de los servicios de red en entornos Unix/Linux, Windows NT, Novell y MacOS. Una serie de clientes locales chequean los distintos servicios y permiten visualizar los resultados a través de una página web o lanzar avisos a los administradores en caso de alarmas.

Todas las versiones 1.4h y anteriores de "Big Brother" son vulnerables a un ataque remoto aprovechando la conocida vulnerabilidad basada en "/../" para escalar directorios y acceder a trayectorias fuera del ámbito del servidor web público. Mediante esta vulnerabilidad es factible visualizar, con un simple navegador, cualquier directorio o fichero del sistema, incluyendo los que almacenan las contraseñas. 

Ejemplo:
http://www.server.com/cgi-bin/bb-hostsvc.sh?HOSTSVC=/../../../../../../../../etc/passwd

BB4 ha facilitado una nueva versión, 1.4h2, que evita este problema, disponible en:
    http://www.bb4.com/download.html