VulDB: Nagios XI Network Monitor 2011R1.9 SQL Injection
Allgemein
scipID: 5633
Betroffen: Nagios XI Network Monitor 2011R1.9
Veröffentlicht: 02.07.2012 (Daniel Compton)
Risiko: 
kritisch
Eintrag: 83.6% komplett
Erstellt: 06.07.2012
Beschreibung
Eine kritische Schwachstelle wurde in Nagios XI Network Monitor 2011R1.9 ausgemacht. Das betrifft eine unbekannte Funktion. Durch das Beeinflussen mit einer unbekannten Eingabe kann eine SQL Injection-Schwachstelle ausgenutzt werden. Dies hat Einfluss auf Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 02.07.2012 durch Daniel Compton von NCC Group Research in Form eines Mailinglist Posts (Bugtraq) herausgegeben. Auf seclists.org kann das Advisory eingesehen werden. Umgesetzt werden kann der Angriff über das Netzwerk. Es sind zwar keine technische Details, jedoch ein privater Exploit zur Schwachstelle bekannt.
Ein Aktualisieren auf die Version CCM Full Beta vermag dieses Problem zu lösen. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Nagios hat demnach unmittelbar reagiert. Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von OSVDB (83546) dokumentiert.CVSS
Base Score: 6.0 (CVSS2#AV:N/AC:M/Au:S/C:P/I:P/A:P) [?]
| Access Vector | Access Complexity | Authentication | Confidentiality | Integrity | Availability |
|---|---|---|---|---|---|
| Local | High | Multiple | None | None | None |
| Adjacent | Medium | Single | Partial | Partial | Partial |
| Network | Low | None | Complete | Complete | Complete |
Exploiting
Klasse: SQL Injection
Lokal: Nein
Remote: Ja
Verfügbarkeit: Ja
Zugang: Privat
Gegenmassnahmen
Empfehlung: Upgrade
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt
Upgrade: XI Network Monitor CCM Full Beta
Timeline
02.07.2012 | Advisory veröffentlicht
02.07.2012 | Gegenmassnahme veröffentlicht
04.07.2012 | OSVDB Eintrag erstellt
06.07.2012 | VulDB Eintrag erstellt
06.07.2012 | VulDB Eintrag aktualisiert
Quellen
Advisory: seclists.org
Person: Daniel Compton
Firma: NCC Group Research
Bestätigung: labs.nagios.com
OSVDB: 83546
- Letzte Einträge
- Google Chrome Web Audio Handler Pufferüberlauf [CVE-2013-2845]
- Google Chrome Style Resolution Handler Pufferüberlauf [CVE-2013-2844]
- Google Chrome Speech Handler Pufferüberlauf [CVE-2013-2843]
- Google Chrome Widget Handler Pufferüberlauf [CVE-2013-2842]
- Google Chrome Pepper Resource Handler Pufferüberlauf [CVE-2013-2841]
- Statistiken
- Archiv
