21. 08. 2014

Check_mk je IT monitorovací systém založený na bázi open source systému Nagios a velkém množství dalších modulů.

Charakteristika zranitelnosti a dopad zranitelnosti

Aplikace Check_mk obsahuje zranitelnost CVE-2014-5338 vůči odraženým XSS útokům. Chyba je způsobena užitím nesprávného kódování výstupu. Odražený XSS útok může být inicializován zasláním škodlivého URL odkazu uživateli Check_mk aplikace. V případě, že je již XSS útok zahájen, útočník získává úplný přístup k aplikaci Check_mk (a Nagios) včetně přístupových práv přihlášeného uživatele.

Druhá zranitelnost CVE-2014-5339 tohoto systému umožňuje útočníkovi zapsat konfigurační soubory na libovolné místo v souborovém systému serveru.

Chyba CVE-2014-5340 v aplikaci Check_mk využívá nezabezpečených volání API, které umožňuje útočníkovi spustit libovolný kód na serveru zadáním jediné URL adresy.

Postižené systémy

  • Check_mk do verze 1.2.4p4 nebo 1.2.5i4

Řešení

Upgradovat na verzi 1.2.4p4 nebo 1.2.5i4 a novější

CVE

CVE-2014-5338, CVE-2014-5339, CVE-2014-5340

Odkazy

http://www.securityfocus.com/archive/1/533180/30/0/threaded