广告

新思科技网络安全研究中心发现Nagios XI存在三个漏洞

2021-10-14 14:40:38 新思科技 阅读:
新思科技网络安全研究中心(CyRC)研究人员发现了Nagios XI存在三个漏洞。Nagios XI是一款广泛使用的应用程序、服务和网络监控软件,拥有访问网络以及服务器配置和报告的特权。

Nagios是应用广泛的一种免费开源的IT 监控软件,能够监控几乎所有类型的组件,例如应用程序、网络协议、Web服务器、操作系统、系统指标、网站,中间件等。一旦被恶意利用,不法分子可以攻击基础设施。新思科技网络安全研究中心发现Nagios XI存在三个漏洞,包括SQL 注入、跨站脚本漏洞以及路径遍历导致任意文件删除。T1Aednc

Nagios XI是一款常用的应用程序、服务和网络监控软件,日前被披露存在多漏洞,包括SQL 注入、路径遍历以及跨站脚本漏洞,在通用漏洞披露库中编号分别为CVE-2021-33177 CVE-2021-33178 CVE-2021-33179 T1Aednc

概述

新思科技网络安全研究中心(CyRC)研究人员发现了Nagios XI存在三个漏洞。Nagios XI是一款广泛使用的应用程序、服务和网络监控软件,拥有访问网络以及服务器配置和报告的特权。T1Aednc

T1Aednc

漏洞:

CVE-2021-33177 – 批量修改工具中的身份验证后 SQL 注入。T1Aednc

CVE-2021-33178 – NagVis 报告模块中的身份验证后路径遍历漏洞。T1Aednc

CVE-2021-33179 –  核心配置管理器上的反射型跨站点脚本 (XSS)。T1Aednc

受影响的软件

CVE-2021-33177T1Aednc

Nagios XI 5.8.5 之前的版本。T1Aednc

CVE-2021-33178T1Aednc

Nagios XI 5.8.6 之前的版本(使用NagVis 插件)。该漏洞并不存在于 Nagios XI 代码本身,但该插件是默认安装的。该漏洞存在于NagVis 插件 2.0.9 之前的版本中,该组件可以独立升级到 2.0.9 或更高版本,或者在不需要时卸载。T1Aednc

CVE-2021-33179T1Aednc

Nagios XI 5.8.4 之前的版本。T1Aednc

漏洞影响

CVE-2021-33177T1Aednc

有权访问批量修改工具的经过身份验证的用户(例如 admin)可以将任意 SQL 注入 UPDATE 语句。在默认配置中,这允许执行任意 PostgreSQL 函数。T1Aednc

CVSS 3.1 评分: 5.2 (中等)T1Aednc

CVSS 3.1 vector:  CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:L/A:N/E:P/RL:O/RC:CT1Aednc

CVE-2021-33178T1Aednc

有权访问 NagVis ManageBackgrounds 端点的经过身份验证的用户(例如 admin)可以删除服务器上受 Apache 服务器有效用户权限限制的任意文件。T1Aednc

CVSS 3.1 评分: 4.5(中等)T1Aednc

CVSS 3.1 vector: CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:N/I:N/A:H/E:P/RL:O/RC:CT1Aednc

CVE-2021-33179T1Aednc

当用户点击恶意 URL 时,它可以在受攻击者的浏览器中执行任意 JavaScript 代码,所有 Nagios XI 本地会话数据都可用。T1Aednc

CVSS 3.1 评分: 4.3(中等)T1Aednc

CVSS 3.1 vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N/E:P/RL:O/RC:CT1Aednc

修复建议

CVE-2021-33177T1Aednc

升级到Nagios XI 5.8.5或更高版本。T1Aednc

请参考: https://www.nagios.com/downloads/nagios-xi/change-logT1Aednc

CVE-2021-33178T1Aednc

NagVis插件升级到2.0.9或更高版本。此版本的 NagVis 插件绑定在 Nagios XI 5.8.6 或更高版本中。T1Aednc

请参考: https://www.nagios.com/downloads/nagios-xi/change-logT1Aednc

CVE-2021-33179T1Aednc

升级到Nagios XI 5.8.4 或更高版本。 T1Aednc

请参考:https://www.nagios.com/downloads/nagios-xi/change-logT1Aednc

漏洞发现者

新思科技网络安全研究中心(CyRC)研究人员Scott Tolley利用Seeker®交互式应用安全测试(IAST)工具发现以上漏洞。T1Aednc

新思科技对Nagios 团队的积极响应和及时解决这些漏洞的能力表示认可。T1Aednc

时间线

CVE-2021-33177T1Aednc

2021年5月12日:首次披露该漏洞T1Aednc

2021年6月4日:Nagios安全团队验证并确认漏洞T1Aednc

2021年7月15日:Nagios XI  5.8.5 发布,修复了 CVE-2021-33177漏洞T1Aednc

2021年10月13日:新思科技发布漏洞报告T1Aednc

CVE-2021-33178T1Aednc

2021年5月12日:首次披露该漏洞T1Aednc

2021年6月4日:Nagios安全团队验证并确认漏洞T1Aednc

2021年9月2日:NagVis 插件 2.0.9 发布,修复了 CVE-2021-33178漏洞T1Aednc

2021年10月13日:新思科技发布漏洞报告T1Aednc

CVE-2021-33179T1Aednc

2021年5月12日:首次披露该漏洞T1Aednc

2021年6月4日:Nagios安全团队验证并确认漏洞T1Aednc

2021年6月10日:Nagios XI 5.8.4 发布,修复了 CVE-2021-33179漏洞T1Aednc

2021年10月13日:新思科技发布漏洞报告T1Aednc

原文链接https://www.synopsys.com/blogs/software-security/cyrc-advisory-nagios-xi/T1Aednc

  • 微信扫一扫
    一键转发
  • 最前沿的电子设计资讯
    请关注“电子技术设计微信公众号”
  • 撬开Google Wifi路由器,一窥内部设计 最近,Google悄然发布了一款价格较低的第三代设计,其中唯一值得注意的改进(至少在外观上)是将基于USB-C连接器的电源转变为基于桶形连接器的电源。在我的三件套翻新机中,有两件是第二代AC-1304型号,但第三件是第一代 NLS-1304-25,这也正是此次要拆解分析的对象。
  • 适合工业应用的鲁棒SPI/I2C通信 状态监控、工厂自动化、楼宇自动化和结构监控等应用要求外设位于远程位置,通常远离控制器。系统设计人员传统上利用中继器或具有更高驱动强度的驱动器来扩展这些接口,其代价是整体成本和功耗增加。
  • 在自动驾驶汽车中实现5G和DSRC V2X 车辆通信是实现更高的自动驾驶水平的重要推动因素。但是,长期以来,汽车厂商一直在研究分析所需的无线接入技术应基于蜂窝技术(也称为C-V2X)还是基于直接接入技术(称为DSRC)。在本文中,我们将展示未来的自动驾驶场景需要协调或组合使用这两种技术。
  • 将以太网供电用作室内定位和实时定位系统的骨干网 本文将探讨室内定位和实时定位系统的实现方式,并说明两者之间的区别,还将讨论以太网供电(PoE)如何为这些定位服务和用于实施这些服务的设备提供理想的高速供电骨干网。
  • 让4G手机秒变5G的手机壳?分析其设计实现及使用弊端 很多千元机都已经支持5G了,花799来买个耗电的5G壳,网速还不一定能提高? 
  • 将天线嵌入蜂窝物联网设计 只要遵循简单的设计准则,便可以使用单个小型天线来服务蜂窝物联网产品中的多个无线电
  • 利用以太网供电 (PoE2) 恢复正常工作 在如今不断发展的全球以太网市场中,PoE 2仍然相当重要,即使在远程工作持续凸显优势的情况下也是如此。大中小型企业都对大楼进行改造,安装支持PoE的扫描仪、摄像头和其他系统来保护员工安全,所以比以往更加需要高端口数PSE。
  • 用于实现O-RAN无线解决方案的5G技术器件 O-RAN旨在推动无线社区转型、开辟新无线设备通道和推动创新,以履行3GPP关于5G的承诺。要取得成功并保持高性价比,必须提供开源的无线电设备和优化的5G技术器件。本文将介绍其中一种用于设计和构建节能解决方案的解决方案。
  • 蓝牙安全性——如何构建下一代安全密钥管理 在半导体领域,安全密钥存储在密钥存储和管理设备中。然而,这些存储就像一个保险库,需要密钥来确保蓝牙密钥的安全存储。这让我们回到原点并留给我们一个问题——我们如何存储密钥?
  • BLER:衡量蜂窝接收器性能的关键参数 5G用户设备接收器的性能对于实现高质量连接和超大数据吞吐量至关重要。其中误块率(BLER)是衡量接收器解调精度和灵敏度的有效指标。
  • 拆解:Tile Mate蓝牙追踪器依靠软件工作 本文要拆解的是一款Tile Mate蓝牙追踪器。Tile是一个与其他东西连接或有其他关联的追踪器,同时也是一种寻找物品的防丢小帮手。透过Tile,甚至可以找到之前遍寻不着的“其他东西”。如果Tile还想创造有形收入(和利润!),它需要实现两项重要目标:售卖大量的产品;将物料清单成本控制在最低水平。
  • “中国IC设计成就奖”提名产品简介:业界首款5G R16 Rea 本次申报的展锐5G基带芯片平台-展锐唐古拉V516,这是展锐推出的业界首个支持5G R16 Ready的产品平台。
广告
热门推荐
广告
广告
EE直播间
在线研讨会
广告
广告
面包芯语
广告
向右滑动:上一篇 向左滑动:下一篇 我知道了