Nagios ’status.cgi‘文件权限许可和访问控制漏洞

漏洞名称：	Nagios ’status.cgi‘文件权限许可和访问控制漏洞
CNNVD编号：	CNNVD-201307-013
发布时间：	2014-02-21
更新时间：	2014-02-21
危害等级：	中危
漏洞类型：	权限许可和访问控制
威胁类型：	远程
CVE编号：	CVE-2013-2214
漏洞来源：	mejo

Nagios是美国程序员Ethan Galstad所研发的一套开源的系统运行状态和网络信息监控程序。该程序提供网络服务监控、主机资源监控、短信报警等功能。 
        Nagios 4.0 beta4之前的4.0版本和3.5.1之前的3.x版本中的status.cgi文件中存在安全漏洞，该漏洞源于程序没有正确的限制某些用户的访问。远程认证攻击者可借助status.cgi文件中的（1）overview，（2）summary，或（3）grid样式服务组，利用该漏洞获取有关主机名的敏感信息。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接： 
        http://tracker.nagios.org/view.php?id=456

来源: tracker.nagios.org 
链接:http://tracker.nagios.org/view.php?id=456 


来源: MLIST 
名称: [oss-security] 20130626 Re: CVE request: unauthorized host/service views displayed in servicegroup view 
链接:http://seclists.org/oss-sec/2013/q2/622 


来源: MLIST 
名称: [oss-security] 20130626 CVE request: unauthorized host/service views displayed in servicegroup view 
链接:http://seclists.org/oss-sec/2013/q2/619 


来源: SUSE 
名称: openSUSE-SU-2013:1160 
链接:http://lists.opensuse.org/opensuse-updates/2013-07/msg00031.html 


来源: SUSE 
名称: openSUSE-SU-2013:1158 
链接:http://lists.opensuse.org/opensuse-updates/2013-07/msg00029.html 


来源: BID 
名称: 60814 
链接:http://www.securityfocus.com/bid/60814