新思科技网络安全研究中心发现Nagios XI存在三个漏洞

最新更新时间:2021-10-14来源: EEWORLD关键字:新思科技  网络安全  漏洞 手机看文章 扫描二维码
随时随地手机看文章

Nagios是应用广泛的一种免费开源的IT 监控软件,能够监控几乎所有类型的组件,例如应用程序、网络协议、Web服务器、操作系统、系统指标、网站,中间件等。一旦被恶意利用,不法分子可以攻击基础设施。新思科技网络安全研究中心发现Nagios XI存在三个漏洞,包括SQL 注入、跨站脚本漏洞以及路径遍历导致任意文件删除。


Nagios XI是一款常用的应用程序、服务和网络监控软件,日前其被披露存在多个漏洞,包括SQL 注入、路径遍历以及跨站脚本漏洞,在通用漏洞披露库中编号分别为CVE-2021-33177、 CVE-2021-33178及 CVE-2021-33179 。


概述


新思科技网络安全研究中心(CyRC)研究人员发现了Nagios XI存在三个漏洞。Nagios XI是一款广泛使用的应用程序、服务和网络监控软件,拥有访问网络以及服务器配置和报告的特权。


漏洞:


CVE-2021-33177 – 批量修改工具中的身份验证后 SQL 注入。

CVE-2021-33178 – NagVis 报告模块中的身份验证后路径遍历漏洞。

CVE-2021-33179 –  核心配置管理器上的反射型跨站点脚本 (XSS)。


受影响的软件


CVE-2021-33177

Nagios XI 5.8.5 之前的版本。


CVE-2021-33178


Nagios XI 5.8.6 之前的版本(使用NagVis 插件)。该漏洞并不存在于 Nagios XI 代码本身,但该插件是默认安装的。该漏洞存在于NagVis 插件 2.0.9 之前的版本中,该组件可以独立升级到 2.0.9 或更高版本,或者在不需要时卸载。


CVE-2021-33179


Nagios XI 5.8.4 之前的版本。


漏洞影响


CVE-2021-33177

有权访问批量修改工具的经过身份验证的用户(例如 admin)可以将任意 SQL 注入 UPDATE 语句。在默认配置中,这允许执行任意 PostgreSQL 函数。

CVSS 3.1 评分: 5.2 (中等)

CVSS 3.1 vector:  CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:L/A:N/E:P/RL:O/RC:C


CVE-2021-33178


有权访问 NagVis ManageBackgrounds 端点的经过身份验证的用户(例如 admin)可以删除服务器上受 Apache 服务器有效用户权限限制的任意文件。


CVSS 3.1 评分: 4.5(中等)


CVSS 3.1 vector: CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:N/I:N/A:H/E:P/RL:O/RC:C


CVE-2021-33179


当用户点击恶意 URL 时,它可以在受攻击者的浏览器中执行任意 JavaScript 代码,所有 Nagios XI 本地会话数据都可用。


CVSS 3.1 评分: 4.3(中等)


CVSS 3.1 vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N/E:P/RL:O/RC:C


修复建议


CVE-2021-33177

升级到Nagios XI 5.8.5或更高版本。


CVE-2021-33178

NagVis插件升级到2.0.9或更高版本。此版本的 NagVis 插件绑定在 Nagios XI 5.8.6 或更高版本中。


CVE-2021-33179

升级到Nagios XI 5.8.4 或更高版本。 



漏洞发现者


新思科技网络安全研究中心(CyRC)研究人员Scott Tolley利用Seeker®交互式应用安全测试(IAST)工具发现以上漏洞。


新思科技对Nagios 团队的积极响应和及时解决这些漏洞的能力表示认可。


时间线


CVE-2021-33177

2021年5月12日:首次披露该漏洞

2021年6月4日:Nagios安全团队验证并确认漏洞

2021年7月15日:Nagios XI  5.8.5 发布,修复了 CVE-2021-33177漏洞

2021年10月13日:新思科技发布漏洞报告


CVE-2021-33178

2021年5月12日:首次披露该漏洞

2021年6月4日:Nagios安全团队验证并确认漏洞

2021年9月2日:NagVis 插件 2.0.9 发布,修复了 CVE-2021-33178漏洞

2021年10月13日:新思科技发布漏洞报告


CVE-2021-33179

2021年5月12日:首次披露该漏洞

2021年6月4日:Nagios安全团队验证并确认漏洞

2021年6月10日:Nagios XI 5.8.4 发布,修复了 CVE-2021-33179漏洞

2021年10月13日:新思科技发布漏洞报告


关键字:新思科技  网络安全  漏洞 编辑:张工 引用地址:http://news.eeworld.com.cn/IoT/ic550481.html

上一篇:派拓网络推出安全访问服务边缘解决方案Prisma SASE
下一篇:最后一页

推荐阅读

新思科技和达索系统合作 打造业界首个汽车整体照明设计平台
10月12日,新思科技(Synopsys)与达索系统(Dassault Systèmes)宣布合作,将新思科技的光学设计解决方案集成到达索系统的3DEXPERIENCE平台中,推动开发更安全、更智能的车辆。通过将完整的光学系统设计工具与世界领先的虚拟孪生体验和产品生命周期管理软件相集成,设计人员可打造出业界首个汽车照明整体设计组合。(图片来源:新思科技)设计人员可在3DEXPERIENCE平台上使用新思科技的光学软件,因此将可以从多学科开发过程获益,从而定义、模拟和验证驾驶体验。这种集成有助于开发更安全的车辆,并具有独特的照明风格,同时还可以加快上市速度。此外,设计师还将受益于3DEXPERIENCE平台的协作虚拟环境,将产品团队
发表于 2021-10-13
<font color='red'>新思科技</font>和达索系统合作 打造业界首个汽车整体照明设计平台
2021新思科技开发者大会:揽数字芯光,话未来芯愿
上海–9月28日,中国年度芯片技术创新峰会“2021新思科技开发者大会”在上海中心大厦成功举行。在数字经济成为经济增长新动能的当下,新思科技携手芯片开发者及行业领袖,围绕5G、物联网、人工智能、智能汽车、高性能计算等数字经济核心应用领域,共同分享前沿的芯片研发技术趋势与实践,并解密新思科技最新技术和产品,共揽数字“芯”光。 2021新思科技开发者大会现场聚力同“芯”:芯片产业的“奥林匹克精神”“今年奥林匹克格言升级为‘更快、更高、更强、更团结’,这与芯片产业的发展目标不谋而合,”新思科技总裁兼联席首席执行官陈志宽博士在开幕致辞中对芯片界的“奥林匹克精神”进行了深度诠释:“纵观芯片产业技术发展历程,唯一不变的只有变化
发表于 2021-09-29
2021<font color='red'>新思科技</font>开发者大会:揽数字芯光,话未来芯愿
新思科技PrimeSim可靠性分析解决方案加速IC设计超收敛
新思科技PrimeSim可靠性分析解决方案加速任务关键型IC设计超收敛经晶圆厂认证的全生命周期可靠性签核有助于预防汽车、医疗和5G芯片设计中的过度设计和昂贵的后期ECO(工程变更指令)要点:• 经过验证的技术统一工作流程在整个产品生命周期内提供符合ISO 26262等标准的高性能可靠性分析 • 与PrimeSim™ Continuum解决方案整合可无缝使用业界领先的仿真器进行电迁移/IR压降分析、MOS老化、高西格玛Monte Carlo、模拟故障和其他可靠性分析 • 与PrimeWave™设计环境整合可提供一致的可靠性验证工作流程,实现弱点分析、结果可视化和假设分析探索加利福尼亚州山景城,2021年9月14日
发表于 2021-09-16
新思科技:部署数据安全战略,加强安全管理和隐私保护
与数据技术相关的应用正改变着各行各业,然而与数据价值并存的是信息安全和隐私保护问题。如今企业运营越来越数字化,他们必须在应用安全流程中采取合适的举措以确保数据安全。尤其是随着各种数据隐私法律法规的颁布,企业需要部署数据安全策略,以更好地实现合规性。新思科技指出企业要更好地保护敏感数据,符合当地法律法规要求,就必须创建数据安全策略和框架,多部门协作共同保障数据安全。世界各地的消费者隐私法欧盟数据保护指令(DPD)完善了个人数据在欧盟内的处理的规范。加拿大《个人信息保护和电子文件法》(PIPEDA)规定了个人数据的使用权限。这些是最早一批颁布的隐私法。欧盟在2018年出台的《通用数据保护条例》(GDPR)引起国际广泛关注。在中国,政府
发表于 2021-09-07
<font color='red'>新思科技</font>:部署数据安全战略,加强安全管理和隐私保护
新思科技与中国合作伙伴如何布局EDA黄金时代?
作为半导体产业“皇冠上的明珠”,以及中国半导体最急需实现突破的环节,EDA软件行业是技术、资金、人才密集型行业,设计难、人才少、周期长、成本高,长期以来新思科技一直在全球引领该领域的技术和市场,而国内EDA企业大多以提供点工具为主。随着中国数字经济的提升、芯片设计行业的崛起,后摩尔时代下EDA需求更加强劲,中国EDA市场真正迎来了蓄势待发的黄金时代。来源:平安证券数字经济和后摩尔时代下,EDA市场机遇和挑战齐飞纵观整体EDA市场规模,虽然仅有百亿美元左右,相当于整个半导体行业销售额的2.5%。规模虽小但是能量巨大,决定了整个产业的效率以及产品的质量,具有巨大的杠杆效应。随着5G互联网、人工智能、大数据、云技术驱动下的数字产业化
发表于 2021-09-01
<font color='red'>新思科技</font>与中国合作伙伴如何布局EDA黄金时代?
派拓网络推出安全访问服务边缘解决方案Prisma SASE
Palo Alto Networks(派拓网络)推出安全访问服务边缘解决方案Prisma SASE,助力混合型员工实现网络与安全功能融合该方案包含集成5G的全新SD-WAN设备,以加速分支机构转型和自主数字体验管理(ADEM)并提供卓越的用户体验2021年10月12日,北京——全球网络安全领导企业 Palo Alto Networks(派拓网络)日前宣布推出Prisma® SASE,将Prisma Access和Prisma SD-WAN整合为集成的云端服务,并结合行业领先的网络安全和下一代SD-WAN解决方案,确保企业在分支机构、家庭办公室以及旅途中流畅工作时保持安全和生产效率。作为拥有近2500家SASE客户和公认的SASE
发表于 2021-10-12
小广播
换一换 更多 相关热搜器件
电子工程世界版权所有 京B2-20211791 京ICP备10001474号-1 电信业务审批[2006]字第258号函 京公网安备 11010802033920号 Copyright © 2005-2021 EEWORLD.com.cn, Inc. All rights reserved