কম্পিউটার
 Computer >> কম্পিউটার >  >> নেটওয়ার্কিং >> নেটওয়ার্ক নিরাপত্তা

নাগিওস লগ সার্ভারে সংরক্ষিত XSS দুর্বলতা পাওয়া গেছে =2.1.6 - অবিলম্বে আপডেট করুন

জনপ্রিয় লগ মনিটরিং এবং ম্যানেজমেন্ট অ্যাপ্লিকেশন, নাগিওস লগ সার্ভার সংস্করণ 2.1.6 (পরীক্ষার সময় সর্বশেষ), আমরা দেখতে পেয়েছি যে এটি সংরক্ষিত XSS আক্রমণের জন্য ঝুঁকিপূর্ণ৷

CVE আইডি: CVE-2020-16157

সারাংশ

নাগিওস লগ সার্ভার হল একটি জনপ্রিয় সেন্ট্রালাইজড লগ ম্যানেজমেন্ট, মনিটরিং এবং অ্যানালাইসিস সফ্টওয়্যার যা সংস্থাগুলিকে লগ দেখতে, বাছাই করতে এবং কনফিগার করতে দেয়৷ অ্যাপ্লিকেশনটির সংস্করণ 2.1.6 সংরক্ষিত XSS-এর জন্য ঝুঁকিপূর্ণ বলে পাওয়া গেছে।

সংরক্ষিত ক্রস সাইট স্ক্রিপ্টিং আক্রমণের সাথে জড়িত একজন আক্রমণকারী একটি স্ক্রিপ্ট ইনজেকশন করে (যেটিকে পেলোড হিসাবে উল্লেখ করা হয়) যা টার্গেট অ্যাপ্লিকেশনে স্থায়ীভাবে সংরক্ষণ করা হয় (যেমন একটি ডাটাবেসের মধ্যে)। একটি ক্লাসিক উদাহরণ হল একটি দূষিত স্ক্রিপ্ট যা আক্রমণকারীর দ্বারা একটি ব্লগের একটি মন্তব্য ক্ষেত্রে বা একটি ফোরাম পোস্টে ঢোকানো হয়৷

প্রভাব

একজন আক্রমণকারী (এই ক্ষেত্রে, একজন প্রমাণীকৃত নিয়মিত ব্যবহারকারী) কুকি চুরি, ব্যবহারকারীদের পুনঃনির্দেশ, শিকারের (এই ক্ষেত্রে, একজন প্রশাসকের) পক্ষ থেকে স্বেচ্ছাচারী ক্রিয়া সম্পাদনের লক্ষ্যে ক্ষতিকারক জাভাস্ক্রিপ্ট চালানোর জন্য এই উচ্চ তীব্রতার দুর্বলতা ব্যবহার করতে পারে, তাদের কীস্ট্রোক লগিং করতে পারে এবং আরো

আক্রমণকারীকে অন্য ব্যবহারকারীদের তাদের শোষণ সম্বলিত একটি নির্দিষ্ট অনুরোধ করতে প্ররোচিত করার জন্য একটি বাহ্যিক উপায় খুঁজে বের করার দরকার নেই৷ বরং, আক্রমণকারী তাদের শোষণকে অ্যাপ্লিকেশনটিতেই রাখে এবং শিকারের মুখোমুখি হওয়ার জন্য অপেক্ষা করে।

দুর্বলতা

পুরো নাম অথবা ব্যবহারকারীর নাম /প্রোফাইলে পৃষ্ঠা বা /admin/users/create পৃষ্ঠা সংরক্ষিত XSS এর জন্য ঝুঁকিপূর্ণ। একবার এই ক্ষেত্রগুলির একটিতে একটি পেলোড সংরক্ষণ করা হলে, সতর্কতা-এ নেভিগেট করুন পৃষ্ঠা (/সতর্কতা ) এবং একটি নতুন সতর্কতা তৈরি করুন এবং ইমেল ব্যবহারকারীদের নির্বাচন করুন৷ বিজ্ঞপ্তি পদ্ধতি হিসাবে . ব্যবহারকারীর তালিকা দেখানোর সাথে সাথে দেখা যায় যে পেলোডটি কার্যকর হয়, যেমনটি নীচে দেখানো হয়েছে।

নাগিওস লগ সার্ভারে সংরক্ষিত XSS দুর্বলতা পাওয়া গেছে =2.1.6 - অবিলম্বে আপডেট করুন

টাইমলাইন

  • জুলাই 08, 2020-এ নাগিওস টিমের কাছে দুর্বলতা রিপোর্ট করা হয়েছে
  • Nagios Log Server 2.1.7 যাতে 28 জুলাই, 2020-এ প্রকাশিত দুর্বলতার সমাধান রয়েছে

প্রস্তাবিত

অ্যাপ্লিকেশনটিকে সর্বশেষ সংস্করণে আপডেট করার জন্য এটি অত্যন্ত বাঞ্ছনীয়৷

রেফারেন্স

  • https://www.nagios.com/downloads/nagios-log-server/change-log/
  • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-16157
  • https://nvd.nist.gov/vuln/detail/CVE-2020-16157

  1. ওয়ার্ডপ্রেস প্লাগইন সমৃদ্ধ পর্যালোচনা আক্রমণের মুখে রয়েছে; দুর্বলতা XSS

  2. GiveWP প্লাগইনে প্রমাণীকরণ বাইপাস দুর্বলতা পাওয়া গেছে – অবিলম্বে আপডেট করুন

  3. WPForms Plugin 1.5.9-এ XSS দুর্বলতা পাওয়া গেছে - অবিলম্বে আপডেট করুন

  4. SeedProd =5.1.0 দ্বারা নির্মাণ ও রক্ষণাবেক্ষণ মোডের অধীনে, Coming Soon পেজে XSS দুর্বলতা পাওয়া গেছে - অবিলম্বে আপডেট করুন