Skylight Cyber kompaniýanyň kiberhowpsuzlyk boýunça gözlegçileri IT torlara we kompýuter ulgamlara gözegçilik etmek üçin niýetlenen Nagios atly açyk düýp kodly programma üpjünçiliginiň 13 sany gowşaklyklary barada giňişleýin maglumaty neşir etdiler. Gowşaklyklaryň ulanylmagy IT-torlary döwüp, açmak mümkinçiligini berýär.

Iň howply mesele (CVE-2020-28648) üçin CVSS-yň görkezijisi boýunça 8,8 derejesi berildi. Bu gowşaklyk Auto-Discovery Nagios XI düzüm böleginde girizilýän maglumatlaryň ýalňyş barlanmagy bilen baglanyşykly bolup durýar.

CVE-2020-28648 we CVE-2020-28910 gowşaklyklary ulanmak arkaly müşderi saýtynyň Nagios XI serweriň döwülmegi uzaklykdan girmek we superuser derejesine çenli hukuklary artdyrmak mümkinçilikleri berip bilýär. Ýaramaz niýetli ulanyjy serweri döwüp, girenden soňra Nagios Fusion dolandyryş serwerine zäherlenen maglumatlary iberip bilýär, Nagios Fusion serweri Nagios XI serwerleri wagtal-wagtal sorag etmek arkaly bütin infrastruktura gözegçilik edýär.

«XI serwerden gelýän zäherlenen maglumatlar saýtara skripting (CVE-2020-28903) amala aşyrmak we Fusion ulanyjynyň çäginde JavaScript kody ýerine ýetirmek mümkinçilikleri berýärler», - diýip bilermenler belläp geçdiler.

Bilermenler Nagios kompaniýasyna öz tapyndylary barada 2020-nji ýylyň oktýabr aýynda habar berdiler. Kompaniýa hem öz gezeginde bu meseleleri aýyrmak üçin 2020-nji ýylyň noýabr aýynda düzedişleri çykardy.

Çeşme: securitylab.ru