Advisories |Tom Arnold

Advisories

Nagios XI 2009R1.2B And Earlier Subject to CSRF and XSS Exploits

26. Juli, 2010 | Autor tar

Today, nagios issued a security notice about CSRF and XSS Exploits regarding their product. You can read the original notice below:

The Nagios Team was notified last week about security exploits in Nagios XI that could potentially compromise a Nagios XI deployment. This message contains information about the exploits, as well as information related to mitigating these problems. We recommend that all Nagios XI users upgrade to the latest release to resolve these issues.

Security Exploit Details

The security vendor that notified us indicated that Nagios XI 2009R1.2B and earlier were vulnerable to Cross Site Scripting (XSS) and Cross Site Request Forgery (CSRF) exploits.

In order to help prevent current Nagios XI users from malicious attacks, we will not be releasing the details of exploits. However, the exploits allowed the vendor to craft requests to Nagios XI that ultimately created a PHP-based shell program that ran as the Apache user. This would allow an attacker to run arbitrary commands as the Apache user and potentially expose sensitive information.

What We Are Doing

Upon receiving the notice from the security vendor, we made changes to the Nagios XI code and released a new 2009R1.2C version that we believe fixes the problems that were reported. We have asked the vendor the re-verify the security test using the 2009R1.2C release. If the vendor reports additional problems with the latest release, we will work quickly to solve the problem and notify you of additional fixes and updates.

What Should You Do?

We recommend that Nagios XI users immediately upgrade to the latest 2009R1.2C release of Nagios XI. This release contains changes that we believe resolve the security risks reported to us.

2009R1.2C is a free upgrade for all Nagios XI users – including customers and users currently evaluating Nagios XI.

Instructions on how to upgrade your Nagios XI instance can be found in the following document:

Nagios XI Upgrade Instructions

Additional Assistance

If you encounter problems with the upgrade to 2009R1.2C, please contact our technical support team by posted to our online support forum at:

http://support.nagios.com/forum

If you have any questions about the information provided in this email please contact us.

Phone: 1-888-624-4671

So, let’s get your installation updated.

Share on Facebook

Veröffentlicht in Advisories, Arbeit, Netzwerk, Software, Technologie | Schlagworte: Apache, Assistance, csrf, deployment, Exploit, Exploits, free upgrade, malicious attacks, nagios, PHP, PHP-based, Problem, release, Security, security exploits, security notice, security risks, security vendor, update, xss | Keine Kommentare »

Secure Computing Webwasher 6.6.3 build 3023|

6. Februar, 2008 | Autor tar

SecureComputing hat ein Update für das Webwasher Produkt herausgegeben. Die neue Version lautet 6.6.3 build 3023 und steht ab sofort im SecureComputing Extranet zum Download bereit.

Der Release enthält die folgenden Erweiterungen:

Berichte: Zusätzliche Funktionalität für die Feedbackgenerierung ohne bestimmte Logs
Berichte: Zusätzliche Funktionalität um Logdateien alphabetisch zu sortieren
OS sanity check für die Restorefunktion
Ad-aware updates funktionieren auch wenn Webwasher versagt

Der Wartungsrelease enthält auch eine Reihe an Fehlerbehebungen. Nachstehend eine Liste:

Anti-Malware: Probleme mit der Sophos Engine
Upload Filter: Crash unter gewissen Gegebenheiten
Generischer Bodyfilter: Userinterface hat Probleme mit bestimmten Zeichen
SSL Scanner: CN Abweichungen wenn CN ist in Unicode
Proxy: Serverauthentifizierungsproblem wenn die Authentifizierung abgebrochen wurde
Proxy: Ungültige Upstream Proxyrequests
Proaktiv: Update ist ausgegraut wenn Antivirus lizenziert, jedoch Anti-Malware nicht lizenziert ist
URL Redirect: Probleme mit Parametern in der URL redirect custom action
Berichte: %BR Feld funktioniert bei syslog action nicht
Berichte: Korrupte Logfilestrukturdefinition
Web Reputation: Whitelisteintrag für sun.com funktioniert nicht
Whitelist: Arbeitet nicht bei Officedokumenten und Formulardaten
Authentication: Probleme wenn der Adminaccount RADIUS Authentication verwendet
Authentication: Internetzugang erlauben wenn der Authenticationserver nicht zur Verfügung steht
Document Inspector: Thread braucht 79%CPU und Webwasher reagiert nicht
Document Inspector: Endlosschleife bei korruptem Exceldokument
WebCache: Crash unter gewissen Gegebenheiten

Für eine volle Liste der Änderungen gibt es die Release Notes unter https://extranet.webwasher.com/download/csm/index.html

Die neue Webwasher Version ist zu finden im Webwasher Extranet:

Softwareversionen:https://extranet.webwasher.com/download/csm/index.html
Appliance ISO Images: https://extranet.webwasher.com/download/appliance/index.html
ApplianceUpdatepakete können durch den integrierten Applianceupdatemechanismus installiert werden, wenn Webwasher 6.0.0 oder höher installiert ist.

Zusätzlich gibt es auch einen neuen Release für den Webwasher NTLM Agent: NTLM Agent 1.5 build 3034

Dieser Release enthält die folgenden Erweiterungen und Bugfixes:

Zusätzliche Debuglogmöglichkeiten
Erweiterte Clientstatistiken
Behobenes Problem durch das der NTLM Agent abstürzte

Der NTLM Agent kann ebenfalls im Webwasher Extranet heruntergeladen werden.

Share on Facebook

Veröffentlicht in Advisories, Arbeit, Linux, Netzwerk, Technologie | Schlagworte: admin, anti malware, Arbeit, Authentifizierung, bug, crash, download, fehler, http, Image, Internet, NAC, neue version, ORM, Problem, radius authentication, release, sanity check, secure computing, Software, sophos, ssl, sun, update, webwasher | Keine Kommentare »