CSIRT-CV - Hemeroteca

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

20/12/2011

Cross-Site Scripting en Nagios XI

Se han anunciado múltiples vulnerabilidades en Nagios XI que podrían permitir a un atacante remoto llevar a cabo ataques Cross-Site Scripting.

Riesgo: Alto

Nagios es un sistema de monitorización redes, que mantiene una vigilancia tanto del hardware de los equipos como del software instalado en ellos, avisando ante cualquier cambio, intrusión, escasez de recursos, etc. a través de diferentes medios como pueden ser el email y los SMS.

Las vulnerabilidades detectadas en Nagios XI son debidas a la falta de comprobación de determinados parámetros de entrada y podrían conducir a ataques de Cross-Site Scripting o XSS. En la versión 2011R1.8 de Nagios XI, dichas vulnerabilidades son las siguientes:

Es posible agregar parámetros a la URL después de login.php o index.php, por ejemplo, y estos no son debidamente comprobados posteriormente en "html/includes/pageparts.inc.php" o en la función “get_permalink_base” localizada en "html/includes/utils.inc.php".

El parámetro "xiwindow" no se comprueba en la función "get_window_frame_url" incluida en "html/includes/pageparts.inc.php".
Los parámetros agregados a la URL después de "includes/components/xicore/recurringdowntime.php".
Los parámetros de entrada "height", "service", y "width" utilizados en la URL "reports/alertheatmap.php".
El parámetro de entrada "service" usado en "reports/histogram.php", "reports/statehistory.php", y "reports/notifications.php", no es comprobado posteriormente en la función "get_service_status_detail_link" localizada en "includes/utils-links.inc.php".
Los parámetros "host" y "service" utilizados en "reports/notifications.php" no son comprobados en la función "get_host_status_detail_link" localizada en "includes/utils-links.inc.php".

En la versión 2011R1.9 de Nagios XI, las vulnerabilidades que podrían permitir ataques XSS son las siguientes:

el parámetro "hostgroup" utilizado en "includes/components/xicore/status.php" no es debidamente comprobado.
el parámetro "host" usado en "reports/alertheatmap.php".
el parámetro "host" utilizado en "reports/histogram.php", "reports/statehistory.php" y "reports/notifications.php" no es debidamente comprobado en la función "get_service_status_detail_link" localizada en "includes/utils-links.inc.php".

Ninguna de las vulnerabilidades anteriores tiene asignado CVE.

Sistemas Afectados:

Nagios XI 2011R1.8
Nagios XI 2011R1.9

Referencias:

None

Solución:

Las vulnerabilidades de Nagios XI 2011R1.8 han sido corregidas en la versión 2011R1.9. Sin embargo, las que afectan a la versión 2011R1.9 no han sido corregidas por el momento, siendo necesario editar el código fuente para asegurar la correcta comprobación de los parámetros y corregir de esta forma dichas vulnerabilidades.

Notas:

http://assets.nagios.com/downloads/nagiosxi/CHANGES-2011.TXT
http://unaaldia.hispasec.com/2011/12/cross-site-scripting-en-nagios-xi.html

Fuente: Hispasec una-al-día

CSIRT-CV