广告

新思科技网络安全研究中心发现Nagios XI存在三个漏洞

2021-10-14 新思科技 阅读:
新思科技网络安全研究中心(CyRC)研究人员发现了Nagios XI存在三个漏洞。Nagios XI是一款广泛使用的应用程序、服务和网络监控软件,拥有访问网络以及服务器配置和报告的特权。

Nagios是应用广泛的一种免费开源的IT 监控软件,能够监控几乎所有类型的组件,例如应用程序、网络协议、Web服务器、操作系统、系统指标、网站,中间件等。一旦被恶意利用,不法分子可以攻击基础设施。新思科技网络安全研究中心发现Nagios XI存在三个漏洞,包括SQL 注入、跨站脚本漏洞以及路径遍历导致任意文件删除。LjMednc

Nagios XI是一款常用的应用程序、服务和网络监控软件,日前被披露存在多漏洞,包括SQL 注入、路径遍历以及跨站脚本漏洞,在通用漏洞披露库中编号分别为CVE-2021-33177 CVE-2021-33178 CVE-2021-33179 LjMednc

概述

新思科技网络安全研究中心(CyRC)研究人员发现了Nagios XI存在三个漏洞。Nagios XI是一款广泛使用的应用程序、服务和网络监控软件,拥有访问网络以及服务器配置和报告的特权。LjMednc

LjMednc

漏洞:

CVE-2021-33177 – 批量修改工具中的身份验证后 SQL 注入。LjMednc

CVE-2021-33178 – NagVis 报告模块中的身份验证后路径遍历漏洞。LjMednc

CVE-2021-33179 –  核心配置管理器上的反射型跨站点脚本 (XSS)。LjMednc

受影响的软件

CVE-2021-33177LjMednc

Nagios XI 5.8.5 之前的版本。LjMednc

CVE-2021-33178LjMednc

Nagios XI 5.8.6 之前的版本(使用NagVis 插件)。该漏洞并不存在于 Nagios XI 代码本身,但该插件是默认安装的。该漏洞存在于NagVis 插件 2.0.9 之前的版本中,该组件可以独立升级到 2.0.9 或更高版本,或者在不需要时卸载。LjMednc

CVE-2021-33179LjMednc

Nagios XI 5.8.4 之前的版本。LjMednc

漏洞影响

CVE-2021-33177LjMednc

有权访问批量修改工具的经过身份验证的用户(例如 admin)可以将任意 SQL 注入 UPDATE 语句。在默认配置中,这允许执行任意 PostgreSQL 函数。LjMednc

CVSS 3.1 评分: 5.2 (中等)LjMednc

CVSS 3.1 vector:  CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:L/A:N/E:P/RL:O/RC:CLjMednc

CVE-2021-33178LjMednc

有权访问 NagVis ManageBackgrounds 端点的经过身份验证的用户(例如 admin)可以删除服务器上受 Apache 服务器有效用户权限限制的任意文件。LjMednc

CVSS 3.1 评分: 4.5(中等)LjMednc

CVSS 3.1 vector: CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:N/I:N/A:H/E:P/RL:O/RC:CLjMednc

CVE-2021-33179LjMednc

当用户点击恶意 URL 时,它可以在受攻击者的浏览器中执行任意 JavaScript 代码,所有 Nagios XI 本地会话数据都可用。LjMednc

CVSS 3.1 评分: 4.3(中等)LjMednc

CVSS 3.1 vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N/E:P/RL:O/RC:CLjMednc

修复建议

CVE-2021-33177LjMednc

升级到Nagios XI 5.8.5或更高版本。LjMednc

请参考: https://www.nagios.com/downloads/nagios-xi/change-logLjMednc

CVE-2021-33178LjMednc

NagVis插件升级到2.0.9或更高版本。此版本的 NagVis 插件绑定在 Nagios XI 5.8.6 或更高版本中。LjMednc

请参考: https://www.nagios.com/downloads/nagios-xi/change-logLjMednc

CVE-2021-33179LjMednc

升级到Nagios XI 5.8.4 或更高版本。 LjMednc

请参考:https://www.nagios.com/downloads/nagios-xi/change-logLjMednc

漏洞发现者

新思科技网络安全研究中心(CyRC)研究人员Scott Tolley利用Seeker®交互式应用安全测试(IAST)工具发现以上漏洞。LjMednc

新思科技对Nagios 团队的积极响应和及时解决这些漏洞的能力表示认可。LjMednc

时间线

CVE-2021-33177LjMednc

2021年5月12日:首次披露该漏洞LjMednc

2021年6月4日:Nagios安全团队验证并确认漏洞LjMednc

2021年7月15日:Nagios XI  5.8.5 发布,修复了 CVE-2021-33177漏洞LjMednc

2021年10月13日:新思科技发布漏洞报告LjMednc

CVE-2021-33178LjMednc

2021年5月12日:首次披露该漏洞LjMednc

2021年6月4日:Nagios安全团队验证并确认漏洞LjMednc

2021年9月2日:NagVis 插件 2.0.9 发布,修复了 CVE-2021-33178漏洞LjMednc

2021年10月13日:新思科技发布漏洞报告LjMednc

CVE-2021-33179LjMednc

2021年5月12日:首次披露该漏洞LjMednc

2021年6月4日:Nagios安全团队验证并确认漏洞LjMednc

2021年6月10日:Nagios XI 5.8.4 发布,修复了 CVE-2021-33179漏洞LjMednc

2021年10月13日:新思科技发布漏洞报告LjMednc

原文链接https://www.synopsys.com/blogs/software-security/cyrc-advisory-nagios-xi/LjMednc

本文为EDN电子技术设计 原创文章,禁止转载。请尊重知识产权,违者本司保留追究责任的权利。
  • 微信扫一扫
    一键转发
  • 最前沿的电子设计资讯
    请关注“电子技术设计微信公众号”
  • “中国IC设计成就奖”提名产品简介:业界首款5G R16 Rea 本次申报的展锐5G基带芯片平台-展锐唐古拉V516,这是展锐推出的业界首个支持5G R16 Ready的产品平台。
  • “中国IC设计成就奖”提名产品简介:1588时钟同步芯片AC 1588时钟同步芯片采用IEEE1588v2协议,通过一个同步信号周期性的对网络中所有节点的时钟进行校正同步,基于以太网的分布式系统达到精确同步,应用于任何组播网络中。
  • “中国IC设计成就奖”提名产品简介:PLC电力线载波通信 LD801是一款适用于12MHz以下窄带、高速或宽带中频电力线载波通信(PLC)的高性能线路驱动(功放)芯片,最大输出功率24dBm。
  • “中国IC设计成就奖”提名产品简介:灵思信鸽LPWAN芯片 在物联网通信芯片领域,升哲科技(SENSORO)拥有深厚的技术研发积累。为打破非授权频谱广域物联网技术的技术壁垒,升哲科技突破了Chirp线性扩频的专利墙,独立开发SWIC(SENSORO Wide Coverage)技术,同时基于SWIC打造了升哲“灵思信鸽LPWAN芯片”。
  • “中国IC设计成就奖”提名产品简介:基于先进工艺的4G基 ASR1803是一款基于先进工艺的4G基带射频一体化芯片,是集成了射频和内存的高集成度基带通信芯片,运用了公司创新的基带射频一体化技术,第一次突破性地将 LTE Cat 4通信产品中独立的射频与基带两颗芯片集成到单颗芯片上,晶粒面积更小、功耗更低,在市场上更具竞争优势。
  • “中国IC设计成就奖”提名产品简介:电力线载波通信PLC- LightBus-100是一款面向智能照明行业的PLC-IoT电力载波芯片组,由一颗高性能32位MCU主控芯片和一颗PLC-IoT电力线载波调制解调芯片组成,以之为核心可构建实时、可靠的智能照明方案主控和电力线通信功能。内置大容量多级PLC自组网协议栈。芯片组可完成智能照明领域通信、控制、LED调光驱动、灯具状态检测等功能的构建。
  • “中国IC设计成就奖”提名产品简介:5G NB-IoT物联网通 量产芯片XY1100 NB-IoT SoC,以完全自主创新的CMOS PA片内集成全新架构,突破了全球蜂窝通信芯片开发的集成度瓶颈,引领了整个产业的创新方向。
  • “中国IC设计成就奖”提名产品简介:针对网络摄像机市场 ATBM6032I是高拓讯达公司针对网络摄像机市场研发的一款Wi-Fi芯片,其特点是在复杂信号干扰的环境下,仍然可以保持相对稳定的吞吐率,使视频图像传输不卡顿。网络摄像机为了实现更远的传输距离,一般采用2.4GHz Wi-Fi频段传输图像,随着Wi-Fi设备的普及,空中的2.4GHz频段充斥着各种信号干扰,而网络摄像机对于图像传输的可靠性有较高要求,须在复杂信号环境下仍然保持稳定的视频传输。ATBM6032I针对此类场景优化了传输算法,同时提高信号发射功率,可以满足网络摄像机的应用需要,实际场测中视频传输稳定性优于竞品。同时,ATBM6032I还支持先进的自适应组网功能,监控套机方案中,每个网络摄像机还可以同时作为中继设备,大幅扩展监控范围。
  • “中国IC设计成就奖”提名产品简介:PLBUS电力线通信驱 LD801是一款适用于12MHz以下窄带、高速或宽带中频电力线载波通信(PLC) 的高性能线路驱动(功放)芯片,最大输出功率24dBm 。
  • “中国IC设计成就奖”提名产品简介:R5总线隔离收发芯片 R5总线隔离收发芯片是金升阳为通信等领域量身打造的产品,该系列产品的开发攻克了很多行业难题,从R1至R5系列,性能与体积不断优化,已经实现了产品性能及封装工艺的同步提升,在产品体积、成本上的优化技术已经做到了国内领先水平产,极大的节约了客户占板空间,更加契合用户的实际使用场景和产业技术发展趋势。在原来的性能优势上,实现更高效率及更优越的保护性能。R5系列产品的核心技术确实在行业内有独创性,极大推动了通信行业等对体积、成本要求很高的行业发展。
  • Matter的核心:定义下一阶段智能家居的互操作性和无线技 在当今完全互联的世界里,使用各种智能家居的生活环境意味着需要同时与多种无线协议进行交互。照明系统、供暖和制冷系统、安全系统、娱乐系统——现在家庭生活的方方面面几乎都可以通过无线方式进行增强和控制。尽管无线技术的优势众多,但如今家庭中的无线连接并不是一帆风顺的。即便对于深谙各种先进技术的智能家居爱好人士来说,家庭网络中处理各种不兼容的无线协议也构成了挑战。
  • 泰克在其屡获大奖的高性能示波器中增加5G功能 工程师可以使用最新5G软件,在一台示波器上诊断复杂的信号交互,减少麻烦的仪器之间关联需求。
广告
热门推荐
广告
广告
EE直播间
在线研讨会
广告
广告
面包芯语
广告
向右滑动:上一篇 向左滑动:下一篇 我知道了