Nagios XI 网络监控软件中存在多个严重漏洞

于 2023-09-21 18:11:26 发布
阅读量213 收藏
点赞数
文章标签: 网络
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247517716&idx=1&sn=f6e084fe97c196160642647dfb778385&chksm=ea94b77edde33e688613beeefc1a659a68506fb10262cdf1c5266f6de10600d6e2b18f022a94&scene=126&sessionid=0
版权

4672cc4e8ff455677a701d628e753e28.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

Nagios XI 网络监控软件中存在多个漏洞,可导致提权和信息泄露。

f1d036e18be85b8edc2013a015e354c1.png

这四个漏洞的编号从CVE-2023-40931到CVE-2023-40934,影响 Nagios XI 5.11.1及以下版本。研究员在2023年8月4日报送这些漏洞,厂商在9月11日已在版本5.11.2中修复。

Outpost24 公司的研究员 Astrid Tedenbrant 表示,“其中三个漏洞(CVE-2023-40931、CVE-2023-40933和CVE-2023-40934)可导致用户以各种权限级别,通过SQL注入访问数据库字段。通过这些漏洞获得的数据可能用于在产品中进一步提权并获得敏感的用户数据如密码哈希和API令牌。”

CVE-2023-40932与Custom Logo 组件中的XSS 缺陷有关,可用于读取敏感数据如从登录页面获取明文密码。

这些漏洞简述如下:

  • CVE-2023-40931:Banner 确认端点中的SQL注入

  • CVE-2023-40932:Custom Logo组件中的XSS

  • CVE-2023-40933:Announcement Banner 设置中的SQL 注入

  • CVE-2023-40934:Core配置管理器 (CCM) 中Host/Service 提权中的SQL注入

这三个SQL注入漏洞如遭成功利用,可导致认证攻击者执行任意SQL命令,而XSS漏洞可用于注入任意JavaScript 以及读取和修改页面数据。这并非Nagios XI 中首次出现安全问题。2021年,Skylight Cyber 和 Claroty 公司发现12个漏洞,可用于劫持基础设施并实现远程代码执行后果。

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

开源软件 Nagios 曝11个漏洞,可使IT 基础设施遭接管引发供应链攻击

GitLab 督促用户安装安全更新,修复严重的管道漏洞

CISA 发布开源软件安全路线图

PHPFusion 开源 CMS 中存在严重漏洞

关于美国政府发布的开源软件安全RFI,你需要知道的都在这里

原文链接

https://thehackernews.com/2023/09/critical-security-flaws-exposed-in.html

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

8424fac240d9ddd7e590639b9ad5b7c0.jpeg

3c48671cafa4fd03d25b547e27bd54f2.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   1ef5f7f04e2ff10b205007cd223ab721.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
nagios-XI-5.4.11
11-22
nagios-XI 是收费的会提供技术支持 但也可以用只是限制了监控的主机数目
Nagios XI网络监控软件安装
weixin_43103905的博客
04-30 1592
访问官网: https://www.nagios.com进入到nagios xi的下载页面下载对应版本, 本文以linux系统版本为例。 安装步骤 如果没有可视化桌面可以使用wget指令下载到tmp目录下。 然后使用 cd /tmp tar xzf nagiosxi-5-4.7.el7.x86_64.tar.gz cd nagiosxi sudo ./fullinstall #(sudo很重要,没...
搭建NagiosXI+InfluxDB+Grafana
weixin_43095402的博客
01-23 845
之前在公司搭建NagiosXI+InfluxDB+Grafana用于Nagios数据展示,所以把在CentOS7的环境上搭建的过程超详细记录了一下,以备后续参考: 虚拟机网络配置 由于公司做的网络策略,限制了大部分ip的外网权限,除了自己用的电脑外一时找不到外网ip,因此考虑用虚拟机改为NAT模式来搭建,这样做的目的是可以用xshell等SSH客户端进行方便的虚拟机管理。 1.打开目录:cd /e...
nagios监控服务器搭建详解
山的博客
08-11 534
nagios监控服务器搭建详解nagios监控服务器组成一、 搭建Nagios-server(监控端)二、 搭建Nagios-client(被监控客户端) 本文用虚拟机centos7搭建nagios作为示例 nagios监控服务器组成 监控端主服务器(Nagios-server)IP:192.168.126.147 被监控客户端服务器(Nagios-client)IP:192.168.126.1...
最新系统漏洞--Nagios XI远程执行代码漏洞
weixin_48555088的博客
10-22 462
最新系统漏洞2021年10月21日 受影响系统: Nagios XI <= 5.7.5 描述: CVE(CAN) ID: CVE-2021-3277 Nagios XI是美国Nagios公司的一套IT基础设施监控解决方案。该方案支持对应用、服务、操作系统等进行监控和预警。 NagiosXI 5.7.5及之前版本存在远程代码执行漏洞。该漏洞源于程序未对custom-includes组件的重命名功能进行正确验证。远程攻击者可通过上传php文件利用该漏洞导致远程代码执行。 <**> 建议: 厂
Nagios.zip 网络监控系统
07-20
Nagios 是一种开源的网络监控系统,可用于监控网络设备、服务器和应用程序。它提供了强大的监控和报警功能,使网络管理员能够实时了解系统的状态并及时采取措施。 Nagios 具有以下主要功能: 监控服务:Nagios 可以...
Nagios Core:Nagios网络监控软件是企业服务器监控-开源
05-09
Nagios网络监控软件是功能强大的企业级主机,服务器,应用程序和网络监控工具。 设计快速,灵活且坚如磐石。 Nagios在* NIX主机上运行,​​可以监视Windows,Linux / Unix / BSD,Netware和网络设备。
nagios-install.rar_nagios_nagios install.txt_网络监控
09-14
Nagios的核心功能是实时监控网络上的服务器、硬件、应用程序和服务,确保它们正常运行。当出现问题时,Nagios会立即发出警报,帮助管理员快速定位并解决故障。Nagios提供了丰富的插件和定制选项,可以根据不同的网络...
Linux服务器网络运维监控软件Nagios
04-25
现有的网络运维管理软件可以说是多种多样的,但是这些工具往往比较昂贵,因此花些时间去选购是很值得的,需要仔细研究其适用性、性能、专业性等方面的特性,需要判断的因素很多,但短时间内理解这些指标并作出选择可...
监控软件nagios
03-15
Nagios是一款开源的系统和网络监控工具,广泛应用于企业运维环境,用于实时监控服务器、网络设备、应用程序等,确保业务的稳定运行。Nagios的核心功能包括性能数据收集、故障检测、警报通知以及状态可视化,使得...
开源软件 Nagios 曝11个漏洞,可使IT 基础设施遭接管引发供应链攻击
smellycat000的专栏
09-23 321
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士专栏·供应链安全数字化时代,软件无处不在。软件如同社会的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成...
新思科技网络安全研究心发现Nagios XI存在漏洞
SIGinChina的博客
10-15 167
开源组件的使用已经很普遍,由于开源组件存在漏洞而导致的安全事件也屡见不鲜。管理在应用和容器使用开源和第三方代码所带来的安全、质量和许可证合规性风险至关重要,尤其像Nagios这类广泛应用的开源免费网络监视工具,如果存在漏洞,一旦遭受攻击,受影响的用户数量会很庞大。 Nagios XI是一款常用的应用程序、服务和网络监控软件,日前其被披露存在多个漏洞,包括SQL 注入、路径遍历以及跨站脚本漏洞,在通用漏洞披露库编号分别为CVE-2021-33177、 CVE-2021-33178及 CVE-2021
CentOS 7 上 企业级监控 Nagios XI 的安装过程
一个烂人的随手笔记
11-04 8834
官方文档https://assets.nagios.com/downloads/nagiosxi/docs/XI_Manual_Installation_Instructions.pdf 重要:安装在一个干净的,最小化的系统 (官方文档强烈建议!不要在已有的CentOS 系统上安装,因为整个安装包会自动下载和编译,安装相关软件) # yum update# yum wget
nagiosxi 监控Linux系统
知识的力量
10-22 1219
注意本软件本人只是监听一个机器的运行情况,集群的待研究、、、、 1、下载软件 软件下载地址:http://pan.baidu.com/s/1c2r8Z3U 2、直接运行即可看到以下图形界面,前提是已经运行了虚拟机 3、点击导入如下所示 4、运行nagiosxi虚拟机 5、登录虚拟机:用户名为:root 默认
Nagiosxi一键部署
たかなし りっか
11-20 389
shell> curl https://assets.nagios.com/downloads/nagiosxi/install.sh | sh
Nagios XI 5.4.11在CentOS7.4下的安装
weixin_33826609的博客
11-21 543
2019独角兽企业重金招聘Python工程师标准>>> ...
Nagios
William234的博客
04-10 1816
Nagios   Nagios 现称Nagios的核心,是一个自由和开放源码的 电脑 - 应用软件监控 系统,网络和基础设施。Nagios为服务器,交换机,应用和服务提供监控和警报服务。当事情出错时,它会提醒用户,并在问题解决后再次提醒他们。 Ethan Galstad和一组开发人员最初写入Nagios作为NetSaint。截至2015年,他们积极维护官方和非官方的插件。
搭建基于Nagios监控系统——之安装Nagios Core
永不放弃的地盘
03-07 8193
Linux 监控 Nagios
适用于 DevOps 和 SRE 的顶级监控工具
u012516914的专栏
06-11 336
监控已经从简单的最佳实践转变为任何产品发布清单上的必需品。选择满足可观察性需求并确保您为客户提供服务的可靠性的工具至关重要。多年来,随着 DevOps 和 SRE 实践的采用增加,监控已经从简单的主动实践转变为任何产品发布清单的必需品。我们现在使用不同的工具进行各种监控检查,以确保系统或服务的所有组件始终可用且正常运行。监控根据被监控的组件进行分段 -网络监控、服务器监控...
利用插件扩展Nagios监控功能.ppt
最新发布
10-21
Nagios是一款强大的网络运维监控系统,用于实时监控网络服务和主机的状态,及时发现并通知问题。它允许管理员监控网络上的各种设备和服务,如服务器、路由器、交换机、HTTP服务、邮件服务等,确保IT基础设施的稳定...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值