Risque
Injection de code indirecte à distance.
Systèmes affectés
Nagios, version 3.2.3 et versions antérieures.
Résumé
Plusieurs vulnérabilités dans Nagios permettent de réaliser de l'injection de code indirecte (XSS).
Description
Plusieurs vulnérabilités sont présentes dans Nagios et permettent de réaliser de l'injection de code indirecte :
- un des paramètres en entrée de config.cgi est insuffisament vérifié ;
- un des paramètres en entrée de statusmap.cgi est insuffisament vérifié.
Solution
La version 3.3.1 de Nagios remédie à ces problèmes.
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Site de téléchargement de Nagios :
http://www.nagios.org/
- Bulletin de sécurité Novell CVE-2011-1523 du 25 juillet 2011 :
http://support.novell.com/security/cve/CVE-2011-1523.html
- Bulletin de sécurité Novell CVE-2011-2179 du 25 juillet 2011 :
http://support.novell.com/security/cve/CVE-2011-2179.html
- Bulletin de sécurité Ubuntu USN-1151-1 du 15 juin 2011 :
http://www.ubuntu.com/usn/usn-1151-1/
- Référence CVE CVE-2011-1523 :
https://www.cve.org/CVERecord?id=CVE-2011-1523
- Référence CVE CVE-2011-2179 :
https://www.cve.org/CVERecord?id=CVE-2011-2179