sábado, 17 de diciembre de 2011

Cross-Site Scripting en Nagios XI

Se han anunciado múltiples vulnerabilidades en Nagios XI que podrían permitir a un atacante remoto llevar a cabo ataques Cross-Site Scripting.

Nagios es un sistema de monitorización redes, que mantiene una vigilancia tanto del hardware de los equipos como del software instalado en ellos, avisando ante cualquier cambio, intrusión, escasez de recursos, etc. a través de diferentes medios como pueden ser el email y los SMS.

Las vulnerabilidades detectadas en Nagios XI son debidas a la falta de comprobación de determinados parámetros de entrada y podrían conducir a ataques de Cross-Site Scripting o XSS. En la versión 2011R1.8 de Nagios XI, dichas vulnerabilidades son las siguientes: 
  • es posible agregar parámetros a la URL después de login.php o index.php, por ejemplo, y estos no son debidamente comprobados posteriormente en "html/includes/pageparts.inc.php" o en la función “get_permalink_base” localizada en "html/includes/utils.inc.php".
  • el parámetro "xiwindow" no se comprueba en la función "get_window_frame_url" incluida en "html/includes/pageparts.inc.php".
  • los parámetros agregados a la URL después de "includes/components/xicore/recurringdowntime.php".
  • los parámetros de entrada "height", "service", y "width" utilizados en la URL "reports/alertheatmap.php".
  • el parámetro de entrada "service" usado en "reports/histogram.php", "reports/statehistory.php", y "reports/notifications.php", no es comprobado posteriormente en la función "get_service_status_detail_link" localizada en "includes/utils-links.inc.php".
  • los parámetros "host" y "service" utilizados en "reports/notifications.php" no son comprobados en la función "get_host_status_detail_link" localizada en "includes/utils-links.inc.php".

En la versión 2011R1.9 de Nagios XI, las vulnerabilidades que podrían permitir ataques XSS son las siguientes: 
  • el parámetro "hostgroup" utilizado en "includes/components/xicore/status.php" no es debidamente comprobado.
  • el parámetro "host" usado en "reports/alertheatmap.php".
  • el parámetro "host" utilizado en "reports/histogram.php", "reports/statehistory.php" y "reports/notifications.php" no es debidamente comprobado en la función "get_service_status_detail_link" localizada en "includes/utils-links.inc.php".

Ninguna de las vulnerabilidades anteriores tiene asignado CVE.

Las vulnerabilidades de Nagios XI 2011R1.8 han sido corregidas en la versión 2011R1.9. Sin embargo, las que afectan a la versión 2011R1.9 no han sido corregidas por el momento, siendo necesario editar el código fuente para asegurar la correcta comprobación de los parámetros y corregir de esta forma dichas vulnerabilidades.

Más información:

Nagios XI releases notes


Juan José Ruiz


2 comentarios:

  1. Algunos de estos fallos los reporte directamente al equipo de nagios como se puede ver aquí:

    http://naxonez.wordpress.com/2011/07/12/probando-nagios-xi/

    :P

    NaxoneZ

    ResponderEliminar
  2. La solucion ya esta en Nagios..hace rato

    http://www.csirtcv.gva.es/es/alertas/cross-site-scripting-en-nagios-323.html

    ResponderEliminar