FC2ブログ

下流ネットワークエンジニアの生活

上流工程を夢見る下流工程のネットワークエンジニアがネットワーク技術や資格、身の回りのことを情報発信! Juniper Cisco YAMAHA DELL D-Link AlaxalA F5 CCNA CCNP CCIE ネットワークスペシャリスト

Ganglia Webにクロスサイトスクリプティングの問題

2013.12.25 (Wed)
GangliaWebは、デフォルトページの処理が原因で
セキュリティホールが存在することが公表された。

このセキュリティホールを利用された場合、
リモートからクロスサイトスクリプティングによる
攻撃を受ける可能性がある。

Ganglia Web の header.php の処理で、
host_regex パラメータの処理を適切に行っていないため、
デフォルトページへ任意のスクリプトを挿入できることが原因。






■影響を受けるバージョン

Ganglia Web
 →3.5.10 未満
・Amazon Linux AMI

rpm -qa | grep [パッケージ名]
コマンドにて確認可


■対処方法

改修プログラムを適用する

Ganglia Web 3.5.10 未満
 →Ganglia Web 3.5.10以上にアップデート。

・Amazon Linux AMI
 →yumにて以下を適用
 [i686]
 ganglia-web-3.5.10-3.6.amzn1.i686
 ganglia-gmond-python-3.6.0-3.6.amzn1.i686
 ganglia-gmetad-3.6.0-3.6.amzn1.i686
 ganglia-gmond-3.6.0-3.6.amzn1.i686
 ganglia-devel-3.6.0-3.6.amzn1.i686
 ganglia-3.6.0-3.6.amzn1.i686
 ganglia-debuginfo-3.6.0-3.6.amzn1.i686
 [x86_64]
 ganglia-gmond-3.6.0-3.6.amzn1.x86_64
 ganglia-devel-3.6.0-3.6.amzn1.x86_64
 ganglia-3.6.0-3.6.amzn1.x86_64
 ganglia-debuginfo-3.6.0-3.6.amzn1.x86_64
 ganglia-gmond-python-3.6.0-3.6.amzn1.x86_64
 ganglia-web-3.5.10-3.6.amzn1.x86_64
 ganglia-gmetad-3.6.0-3.6.amzn1.x86_64


関連記事
スポンサーサイト



コメント


管理者のみに表示

トラックバック