📚 Nagios bis 4.2.1 MagpieRSS fetch Directory Traversal
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: vuldb.com
Es wurde eine Schwachstelle in Nagios bis 4.2.1 entdeckt. Sie wurde als kritisch eingestuft. Es betrifft die Funktion fetch der Komponente MagpieRSS. Dank der Manipulation mit einer unbekannten Eingabe kann eine Directory Traversal-Schwachstelle ausgenutzt werden. Dies hat Einfluss auf Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 15.12.2016 durch Dawid Golunski (Website) publiziert. Das Advisory kann von legalhackers.com heruntergeladen werden. Die Identifikation der Schwachstelle wird mit CVE-2016-9565 vorgenommen. Der Angriff kann über das Netzwerk erfolgen. Es sind technische Details sowie ein öffentlicher Exploit zur Schwachstelle bekannt.
Ein öffentlicher Exploit wurde durch Dawid Golunski in Python entwickelt. Er wird als proof-of-concept gehandelt. Der Download des Exploits kann von legalhackers.com geschehen.
Ein Aktualisieren auf die Version 4.2.2 vermag dieses Problem zu lösen.
Weitere Informationen werden unter seclists.org bereitgestellt. Mit dieser Schwachstelle verwandte Einträge finden sich unter 94546.
CVSSv3
Base Score: ≈6.3 [?]Temp Score: ≈5.7 [?]
Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L/E:P/RL:O/RC:X [?]
Zuverlässigkeit: Medium
CVSSv2
Base Score: ≈6.0 (CVSS2#AV:N/AC:M/Au:S/C:P/I:P/A:P) [?]Temp Score: ≈4.7 (CVSS2#E:POC/RL:OF/RC:ND) [?]
Zuverlässigkeit: Medium
CPE
Exploiting
Klasse: Directory TraversalLokal: Nein
Remote: Ja
Verfügbarkeit: Ja
Zugang: öffentlich
Status: Proof-of-Concept
Programmiersprache: Python
Autor: Dawid Golunski
Download: legalhackers.com
Aktuelle Preisschätzung: $0-$5k (0-day) / $0-$5k (Heute)
Gegenmassnahmen
Empfehlung: UpgradeStatus: Offizieller Fix
0-Day Time: 0 Tage seit gefunden
Upgrade: Nagios 4.2.2
Timeline
15.12.2016 Advisory veröffentlicht16.12.2016 VulDB Eintrag erstellt
16.12.2016 VulDB letzte Aktualisierung
Quellen
Advisory: legalhackers.comPerson: Dawid Golunski
CVE: CVE-2016-9565 (mitre.org) (nvd.nist.org) (cvedetails.com)
Diverses: seclists.org
Siehe auch: 94546
Eintrag
Erstellt: 16.12.2016Eintrag: 73.2% komplett
...