Kein Update verfügbar

Sicherheitslücke in Nagios erlaubt XSS-Angriffe

Es wurde eine Schwachstelle in Nagios entdeckt, mit der sich so genanntes Cross Site Scripting durchführen lässt.

Eingaben in den layer-Parameter in die Datei cgi-bin/statusmap.cgi überprüft die Software nicht ausreichend bevor diese an den Anwender zurückgegeben werden. Somit könnte sich beliebiger HTML- oder Script-Code in der Browser-Sitzung eines Nutzers ausführen lassen.

Die Sicherheitslücke ist für Version 3.2.3 bestätigt. Andere Versionen könnten ebenfalls betroffen sein. Das Nagios-Team hat eine Sicherheits-Anweisung zur Verfügung gestellt. Ein Update steht derzeit nicht zur Verfügung. (jdo)