Risque
- Injection de code indirecte à distance
Systèmes affectés
Nagios, version 3.2.3 et versions antérieures.
Résumé
Plusieurs vulnérabilités dans Nagios permettent de réaliser de l'injection de code indirecte (XSS).
Description
Plusieurs vulnérabilités sont présentes dans Nagios et permettent de réaliser de l'injection de code indirecte :
- un des paramètres en entrée de config.cgi est insuffisament vérifié ;
- un des paramètres en entrée de statusmap.cgi est insuffisament vérifié.
Solution
La version 3.3.1 de Nagios remédie à ces problèmes.
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Site de téléchargement de Nagios http://www.nagios.org/
- Bulletin de sécurité Novell CVE-2011-1523 du 25 juillet 2011 : http://support.novell.com/security/cve/CVE-2011-1523.html
- Bulletin de sécurité Novell CVE-2011-2179 du 25 juillet 2011 : http://support.novell.com/security/cve/CVE-2011-2179.html
- Bulletin de sécurité Ubuntu USN-1151-1 du 15 juin 2011 : http://www.ubuntu.com/usn/usn-1151-1/
- Référence CVE CVE-2011-1523 https://www.cve.org/CVERecord?id=CVE-2011-1523
- Référence CVE CVE-2011-2179 https://www.cve.org/CVERecord?id=CVE-2011-2179