Nagios の statusmap.cgi および config.cgi におけるクロスサイトスクリプティングの脆弱性(Scan Tech Report)
1.概要
Nagios に同梱される statusmap.cgi および config.cgi に、クロスサイトスクリプティングの脆弱性が報告されました。
リモートの第三者に利用された場合、Nagios にアクセスするユーザのブラウザ上で不正なスクリプトが実行される可能性があります。
さらなる攻
脆弱性と脅威
エクスプロイト
Nagios に同梱される statusmap.cgi および config.cgi に、クロスサイトスクリプティングの脆弱性が報告されました。
リモートの第三者に利用された場合、Nagios にアクセスするユーザのブラウザ上で不正なスクリプトが実行される可能性があります。
さらなる攻撃に悪用される可能性があるため、対象のユーザは可能な限り以下に記載する対策を実施することを推奨します。
2.深刻度(CVSS)
・CVE-2011-1523
4.3
http://nvd.nist.gov/cvss.cfm?version=2&name=CVE-2011-1523&vector=%28AV%3AN/AC%3AM/Au%3AN/C%3AN/I%3AP/A%3AN%29
・CVE-2011-2179
4.3
http://nvd.nist.gov/cvss.cfm?version=2&name=CVE-2011-2179&vector=%28AV%3AN/AC%3AM/Au%3AN/C%3AN/I%3AP/A%3AN%29
3.影響を受けるソフトウェア
Nagios 3.2.3 以前
※影響を受けるバージョンの Nagios が含まれる、Linux ディストリビューションにおいても、この脆弱性の影響を受ける可能性があります。
4.解説
Nagios は、ホストやそのホストで動作するサービスの稼働状態を各種プラグイ
ンによって監視するオープンソースのソフトウェアです。
プラグインの 1 つである statusmap.cgi は、監視対象ホストのステータス情
報を、config.cgi は、オブジェクト設定ファイルで定義したオブジェクト (ホ
スト、サービスなど) 情報をそれぞれ提供し、Nagios に既定で同梱されていま
す。
Nagios の statusmap.cgi (statusmap.c) には、layer パラメータの入力値チェックに不備が存在するため、当該パラメータに入力された文字列が適切にエスケープ処理されずに出力されてしまう問題 (CVE-2011-1523) が存在します。
同様に、config.cgi (config.c) には、expand パラメータの入力値チェックに不備が存在するため、当該パラメータに入力された文字列が適切にエスケープ処理されずに出力されてしまう問題 (CVE-2011-2179) が存在します。
このため、layer あるいは expand パラメータにスクリプトを実行する不正な文字列を指定することで、クロスサイトスクリプティング攻撃が可能な脆弱性が存在します。
この脆弱性を利用することでリモートの攻撃者は、Nagios にアクセスするユーザのブラウザ上で任意のスクリプトが実行可能となります。
なお、CVE-2011-2179 の問題においては、icinga.org より配布される Icinga 1.4.0 以前も影響を受け、Icinga 1.4.1 以降で解消されています。
5.対策
(Web非公開)
6.ソースコード
(Web非公開)
(執筆:株式会社ラック コンピュータセキュリティ研究所)
※Web非公開該当コンテンツ閲覧をご希望の方はScan Tech Reportにご登録(有料)下さい。
Scan Tech Report
http://scan.netsecurity.ne.jp/archives/51916302.html
《ScanNetSecurity》