Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
20/12/2011
Cross-Site Scripting en Nagios XI
S’han anunciat múltiples vulnerabilitats en Nagios XI, que podrien permetre a un atacant remot dur a terme atacs Cross-Site Scripting.Nagios és un sistema de monitorització xarxes, que manté una vigilància tant del maquinari dels equipaments com del programari instal·lat en ells; avisant davant de qualsevol canvi, intrusió, escassetat de recursos, etc. a través de diferents mitjans, com poden ser l’email i els SMS.
Les vulnerabilitats detectades en Nagios XI són degudes a la falta de comprovació de determinats paràmetres d’entrada i podrien conduir a atacs de Cross-Site Scripting o XSS. En la versió 2011R1.8 de Nagios XI, les dites vulnerabilitats són les següents:
És possible agregar paràmetres a la URL després de login.php o index.php, per exemple, i estos no són degudament comprovats posteriorment en "html/includes/pageparts.inc.php" o en la funció “get_permalink_base” localitzada en "html/includes/utils.inc.php".
- El paràmetre "xiwindow" no es comprova en la funció "get_window_frame_url" inclosa en "html/includes/pageparts.inc.php".
- Els paràmetres agregats a la URL després de "includes/components/xicore/recurringdowntime.php".
- Els paràmetres d’entrada "height", "service", i "width" utilitzats en la URL"reports/alertheatmap.php".
- El paràmetre d’entrada "service" usat en "reports/histogram.php", "reports/statehistory.php", i "reports/notifications.php", no és comprovat posteriorment en la funció "get_service_estatus_detail_enllaç" localitzada en "includes/utils-links.inc.php".
-
Els paràmetres "host" i "service" utilitzats en "reports/notifications.php" no són comprovats en la funció "get_host_estatus_detail_enllaç" localitzada en "includes/utils-links.inc.php".
En la versió 2011R1.9 de Nagios XI, les vulnerabilitats que podrien permetre atacs XSS són les següents:
- el paràmetre "hostgroup" utilitzat en "includes/components/xicore/estatus.php" no és degudament comprovat.
- el paràmetre "host" usat en "reports/alertheatmap.php".
- el paràmetre "host" utilitzat en "reports/histogram.php", "reports/statehistory.php" i "reports/notifications.php" no és degudament comprovat en la funció "get_service_estatus_detail_enllaç" localitzada en "includes/utils-links.inc.php".
Cap de les vulnerabilitats anteriors té assignat CVE.
Nagios XI 2011R1.8
Nagios XI 2011R1.9
None
Solució:Les vulnerabilitats de Nagios XI 2011R1.8 han sigut corregides en la versió 2011R1.9. No obstant això, les que afecten la versió 2011R1.9 no han sigut corregides de moment, sent necessari editar el codi font per a assegurar la correcta comprovació dels paràmetres i corregir d’esta manera les mencionades vulnerabilitats.
Notes:http://assets.nagios.com/downloads/nagiosxi/CHANGES-2011.TXT
http://unaaldia.hispasec.com/2011/12/cross-site-scripting-en-nagios-xi.html