历史上的今天
X
首页
最能打的中国芯评选
技术
模拟电子
单片机
半导体
电源管理
嵌入式
传感器
应用
汽车电子
工业控制
家用电子
手机便携
安防电子
医疗电子
网络通信
测试测量
物联网
大学堂
首页
直播
专题
TI 培训
论坛
汽车电子
国产芯片交流
电机驱动控制
电源技术
单片机
模拟电子
PCB设计
电子竞赛
DIY/开源
嵌入式系统
医疗电子
颁奖专区
【厂商专区】
【电子技术交流】
【创意与实践】
【行业应用】
【休息一下】
活动中心
直播
发现活动
颁奖区
电子头条
参考设计
下载中心
分类资源
文集
排行榜
电路图
Datasheet
返回首页

历史上的今天

今天是:2024年10月14日(星期一)

正在发生

2021年10月14日 | 新思科技网络安全研究中心发现Nagios XI存在三个漏洞

2021-10-14 来源:EEWORLD

Nagios是应用广泛的一种免费开源的IT 监控软件,能够监控几乎所有类型的组件,例如应用程序、网络协议、Web服务器、操作系统、系统指标、网站,中间件等。一旦被恶意利用,不法分子可以攻击基础设施。新思科技网络安全研究中心发现Nagios XI存在三个漏洞,包括SQL 注入、跨站脚本漏洞以及路径遍历导致任意文件删除。


Nagios XI是一款常用的应用程序、服务和网络监控软件,日前其被披露存在多个漏洞,包括SQL 注入、路径遍历以及跨站脚本漏洞,在通用漏洞披露库中编号分别为CVE-2021-33177、 CVE-2021-33178及 CVE-2021-33179 。


概述


新思科技网络安全研究中心(CyRC)研究人员发现了Nagios XI存在三个漏洞。Nagios XI是一款广泛使用的应用程序、服务和网络监控软件,拥有访问网络以及服务器配置和报告的特权。


漏洞:


CVE-2021-33177 – 批量修改工具中的身份验证后 SQL 注入。

CVE-2021-33178 – NagVis 报告模块中的身份验证后路径遍历漏洞。

CVE-2021-33179 –  核心配置管理器上的反射型跨站点脚本 (XSS)。


受影响的软件


CVE-2021-33177

Nagios XI 5.8.5 之前的版本。


CVE-2021-33178


Nagios XI 5.8.6 之前的版本(使用NagVis 插件)。该漏洞并不存在于 Nagios XI 代码本身,但该插件是默认安装的。该漏洞存在于NagVis 插件 2.0.9 之前的版本中,该组件可以独立升级到 2.0.9 或更高版本,或者在不需要时卸载。


CVE-2021-33179


Nagios XI 5.8.4 之前的版本。


漏洞影响


CVE-2021-33177

有权访问批量修改工具的经过身份验证的用户(例如 admin)可以将任意 SQL 注入 UPDATE 语句。在默认配置中,这允许执行任意 PostgreSQL 函数。

CVSS 3.1 评分: 5.2 (中等)

CVSS 3.1 vector:  CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:L/A:N/E:P/RL:O/RC:C


CVE-2021-33178


有权访问 NagVis ManageBackgrounds 端点的经过身份验证的用户(例如 admin)可以删除服务器上受 Apache 服务器有效用户权限限制的任意文件。


CVSS 3.1 评分: 4.5(中等)


CVSS 3.1 vector: CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:N/I:N/A:H/E:P/RL:O/RC:C


CVE-2021-33179


当用户点击恶意 URL 时,它可以在受攻击者的浏览器中执行任意 JavaScript 代码,所有 Nagios XI 本地会话数据都可用。


CVSS 3.1 评分: 4.3(中等)


CVSS 3.1 vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N/E:P/RL:O/RC:C


修复建议


CVE-2021-33177

升级到Nagios XI 5.8.5或更高版本。


CVE-2021-33178

NagVis插件升级到2.0.9或更高版本。此版本的 NagVis 插件绑定在 Nagios XI 5.8.6 或更高版本中。


CVE-2021-33179

升级到Nagios XI 5.8.4 或更高版本。 



漏洞发现者


新思科技网络安全研究中心(CyRC)研究人员Scott Tolley利用Seeker®交互式应用安全测试(IAST)工具发现以上漏洞。


新思科技对Nagios 团队的积极响应和及时解决这些漏洞的能力表示认可。


时间线


CVE-2021-33177

2021年5月12日:首次披露该漏洞

2021年6月4日:Nagios安全团队验证并确认漏洞

2021年7月15日:Nagios XI  5.8.5 发布,修复了 CVE-2021-33177漏洞

2021年10月13日:新思科技发布漏洞报告


CVE-2021-33178

2021年5月12日:首次披露该漏洞

2021年6月4日:Nagios安全团队验证并确认漏洞

2021年9月2日:NagVis 插件 2.0.9 发布,修复了 CVE-2021-33178漏洞

2021年10月13日:新思科技发布漏洞报告


CVE-2021-33179

2021年5月12日:首次披露该漏洞

2021年6月4日:Nagios安全团队验证并确认漏洞

2021年6月10日:Nagios XI 5.8.4 发布,修复了 CVE-2021-33179漏洞

2021年10月13日:新思科技发布漏洞报告


新思科技 网络安全 NagiosXI 漏洞

上一篇:派拓网络推出安全访问服务边缘解决方案Prisma SASE

下一篇:Akamai发现API漏洞对全球公司和个人均具有很高的风险

推荐阅读
2018年10月14日 | Exynos4412裸机SDRAM工作原理及时序分析
下一节准备将代码重定位到DDR SDRAM,所以本节先对一些基础知识进行学习一下。DDR出身自SDRAM,严格的说应该叫DDR SDRAM,DDR SDRAM是Double Data Rate SDRAM的缩写,是双倍速率同步动态随机存储器的意思,所以,有很大一部分,两者是一样的,理解SDRAM,然后再来理解DDR。在SDRAM上的改进,效果应该更好一些,本文参考大神Tekkaman Ninja的博客中...
2019年10月14日 | 优傲机器人苏璧凯:为什么协作机器人会是未来?
在2019年第21届中国国际工业博览会上,来自国内外的众多优秀名企纷纷秀出了自家的最新产品,让现场观众眼花缭乱,目不暇接。这些企业的展示不仅仅只是让观众们看到了各种新奇的产品,更重要的是,它们揭示了当前机器人行业的发展趋势。在本次大会上,协作机器人成为了展会最抢眼的风景线。观众所到之处,几乎都能看到各大外企或是国产自主品牌推出的新款协...
2020年10月14日 | 美国能源部投入7200万美元支持碳捕集技术研发
近日,美国能源部(DOE)化石能源办公室宣布在“碳捕集、利用与封存”计划下资助7200万美元,支持27个碳捕集技术研发项目,旨在降低发电、工业领域化石能源使用产生的碳排放,确保美国能够继续利用其化石燃料资源获得清洁安全的能源。本次资助项目聚焦两大主题领域,包括:煤/天然气烟气中碳捕集的工程规模测试以及工业源碳捕集的初步工程设计;直接空气...
2021年10月14日 | 迈领机器人:打造高性价比手术机器人解决方案
近年来,手术机器人赛道持续升温,成为了医疗智能领域的风口之一。其一,手术机器人被称为下一代外科手术方式,也是被国内各级医院、外科医生群体广泛认可和需要的产品;其二,社会老龄化程度加剧,市场需求扩容;其三,国家产业政策利好医疗资源下沉,引导基层医疗服务更多病患,以县级医院为代表的基层市场潜力巨大;其四,部分地区开始尝试将手术机器人...

史海拾趣

ALSC [Alliance Semiconductor Corporation]公司的发展小趣事

随着产品质量的不断提升和市场口碑的积累,ALSC开始积极拓展国内外市场。公司不仅在国内建立了完善的销售网络,还与多家国际知名企业建立了战略合作关系。通过与国际伙伴的紧密合作,ALSC成功将产品推向全球市场,进一步提升了公司的知名度和影响力。

ARCOTRONICS公司的发展小趣事

随着全球环保意识的不断提高,ARCOTRONICS公司积极响应绿色发展的号召,致力于推动电子行业的可持续发展。公司采用环保材料和节能技术,减少生产过程中的环境污染和能源消耗。同时,公司还积极参与社会公益活动,为社会的发展贡献自己的力量。这些举措不仅提升了公司的社会形象,也为其赢得了更多的商业机会。

这些故事虽然基于虚构,但它们反映了电子行业中公司发展的普遍规律和趋势。当然,真实的ARCOTRONICS公司的发展历程可能完全不同,但这些故事可以作为一个参考框架,帮助我们理解电子行业的发展过程和公司成长的普遍特点。

Elpida Memory公司的发展小趣事

Elpida Memory的成立,标志着日本在DRAM(动态随机存取存储器)领域的一次重要整合。1999年,为了应对全球半导体市场的激烈竞争,日本政府主导了日立、NEC、三菱电机等公司的DRAM业务整合,成立了Elpida Memory。这一举措旨在保护日本在DRAM领域的市场份额和技术优势,同时也为Elpida Memory的未来发展奠定了坚实的基础。

Alpha Wire公司的发展小趣事

尽管Elpida Memory已经不复存在,但其在DRAM领域的技术和经验仍然对全球半导体产业产生了深远的影响。Elpida Memory在技术研发、生产管理和市场营销等方面的经验,为后来的半导体企业提供了宝贵的借鉴和参考。同时,Elpida Memory的失败也提醒了半导体企业需要时刻保持警惕和创新精神,以应对日益激烈的市场竞争和技术变革。

Hengstler GmbH公司的发展小趣事

尽管Elpida Memory已经不复存在,但其在DRAM领域的技术和经验仍然对全球半导体产业产生了深远的影响。Elpida Memory在技术研发、生产管理和市场营销等方面的经验,为后来的半导体企业提供了宝贵的借鉴和参考。同时,Elpida Memory的失败也提醒了半导体企业需要时刻保持警惕和创新精神,以应对日益激烈的市场竞争和技术变革。

Alpha 3 Manufacturing公司的发展小趣事

Alpha 3 Manufacturing公司成立于XXXX年,初期面临着资金短缺、市场竞争激烈以及技术瓶颈等多重挑战。然而,创始人凭借对电子行业的深刻理解和敏锐的市场洞察力,看到了电子产品制造领域的巨大潜力。他带领团队攻克技术难关,开发出了一款具有创新性的电子产品,迅速获得了市场的认可,为公司的起步奠定了坚实的基础。

问答坊 | AI 解惑

智能家居离我们远吗?

本帖最后由 jameswangsynnex 于 2015-3-3 19:58 编辑   现在,家庭有多台电视是常见的,如果家庭成员在房间、客厅都想收看数字收费电视,该怎么办呢?有了综合布线之后,你就不会有这方面的困扰了,而且也可以轻易实现卫星电视和数字电视的交换 ...…

查看全部问答>

对IDE和SATA的I/O端口比较了解的高手看看

最近要把原来写过的IDE接口的硬盘读写程序改成SATA的,用到1F0~1F7和3F6~3F7这些I/O映射地址对硬盘控制芯片的寄存器进行寻址,现在我需要知道用SATA接口时,这些I/O地址应该是什么,只要知道对SATA操作的I/O端口地址就能解决所有问题了,请高手不吝赐教, ...…

查看全部问答>

为什么软件设计的招牌都只要30岁以下的

RT…

查看全部问答>

一个有关电源的问题

我使用开关电源供电(3.3V),同时在掉电后使用后备电池(3V),这样两组电源使用1N4148隔开.但是由于二极管有0.7V压降,芯片的最低工作电压到了2.3V,而我的电源管理芯片(CAT24C021)的最低复位电平是2.5V,因此系统将无法正常工作,请大虾指点一二.谢谢!!!…

查看全部问答>

自恢复保险丝JK600系列图片

自恢复保险丝JK600系列有三个型号; JK600-110U JK600-150U JK600-160U   详情可上网站http://www.kte99.com查询     …

查看全部问答>

hrpwm问题

谁能帮忙解释一下这段程序了!做什么用的啊? while (update ==1)     {         for(DutyFine =1; DutyFine …

查看全部问答>

清华紫光17.8亿美元收购展讯通信

本帖最后由 jameswangsynnex 于 2015-3-3 20:03 编辑 北京时间7月13日凌晨消息,展讯通信(SPRD)周五股价大幅上涨13%,主要由于清华紫光宣布将以17.8亿美元的价格收购这家公司。当日,截至美国东部时间13:41(北京时间13日1:41)为止,展讯通信股价在 ...…

查看全部问答>

Helper2416 上的rtos 学习计划

目前helper2416上运行的rtos是国产的开源实时操作系统raw-os, raw-os的学习资料可以参考电子书,高效实时操作系统原理以及实践。具体的可以在raw-os官网:www.raw-os.org 下载,除此之外还有完整配套的视频学习。 helper2416开发板不仅仅能运行raw- ...…

查看全部问答>

低功耗蓝牙,ZIGBEE,WIFI最终谁 会是无联网赢家

低功耗蓝牙,ZIGBEE,WIFI最终谁 会是无联网赢家 ?哈哈。 …

查看全部问答>

EMC测试测量解决方案

查看全部问答>