Nagios ’status.cgi‘文件权限许可和访问控制漏洞
|
|
|||||||||||||||||||
| 漏洞名称: | Nagios ’status.cgi‘文件权限许可和访问控制漏洞 |
| CNNVD编号: | CNNVD-201307-013 |
| 发布时间: | 2014-02-21 |
| 更新时间: | 2014-02-21 |
| 危害等级: | 中危  |
| 漏洞类型: | 权限许可和访问控制 |
| 威胁类型: | 远程 |
| CVE编号: | CVE-2013-2214 |
| 漏洞来源: | mejo |
Nagios是美国程序员Ethan Galstad所研发的一套开源的系统运行状态和网络信息监控程序。该程序提供网络服务监控、主机资源监控、短信报警等功能。
Nagios 4.0 beta4之前的4.0版本和3.5.1之前的3.x版本中的status.cgi文件中存在安全漏洞,该漏洞源于程序没有正确的限制某些用户的访问。远程认证攻击者可借助status.cgi文件中的(1)overview,(2)summary,或(3)grid样式服务组,利用该漏洞获取有关主机名的敏感信息。
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://tracker.nagios.org/view.php?id=456
|
来源: tracker.nagios.org |
