Сайт находится в состоянии доработки. Извиняемся за неудобства.

x
© 1995-2020 Компания «Инфосистемы Джет»

148

0

12

0

3

ИТ-компания «Инфосистемы Джет» предупреждает об опасной уязвимости (7,5 баллов из 10 по шкале CVSS v2) в системах мониторинга виртуальной инфраструктуры LPAR2RRD и STOR2RRD Virtual Appliance от производителя Xorux. Уязвимость позволяет неавторизованным пользователям проводить удаленное исполнение команд ОС на сервере мониторинга при отправке запросов с главной веб-страницы решения, что может привести к компрометации сервера мониторинга.

 

Уязвимость была обнаружена в Лаборатории практического анализа защищенности компании «Инфосистемы Джет». Проблема (CVE-2020-24032) затрагивает версии LPAR2RRD и STOR2RRD Virtual Appliance с 2.01 по 2.70 и заключается в недостаточной фильтрации данных в параметрах POST-запроса при установке временной зоны. Для эксплуатации уязвимости необходим доступ к функции set timezone через веб-интерфейс продукта. В результате злоумышленники могут получить возможность по внедрению и выполнению команд на сервере решения.


«Уязвимое приложение выполняет внедренные злоумышленником команды в принимающей? их операционной? системе и позволяет в отдельных случаях полностью скомпрометировать систему, а также обойти средства защиты, применяемые в организации для предотвращения несанкционированного доступа во внутреннюю сеть. CVE-2020-24032 может стать отличным плацдармом для дальнейшего развития атаки на внутреннюю сеть. Наконец, нельзя исключать сценарий использования скомпрометированной системы для создания и развития бот-сетей», — предостерегает Всеволод Шамов, специалист Лаборатории практического анализа защищенности компании «Инфосистемы Джет».


До устранения уязвимости производителем специалисты «Инфосистемы Джет» рекомендуют ограничить доступ к сценарию /cgi-bin/tz.pl наложенными средствами либо временно ограничить доступ к веб-панели на сетевом уровне.


LPAR2RRD и STOR2RRD Virtual Appliance — программное обеспечение c открытым исходным кодом для мониторинга серверной инфраструктуры и систем хранения данных от чешской компании Xorux. Согласно информации на сайте производителя, данными решениями пользуются финансовые компании, государственные организации, ИТ- и телеком-компании, предприятия сферы энергетики, а также организации в области здравоохранения.

Следите за нашими обновлениями
04
10

«Инфосистемы Джет» построила Data Lake для НЛМК

Подразделению Data Science НЛМК требовался удобный инструмент для работы с получаемыми данными.

03
02

Модернизация дата-центров Норникеля в условиях вечной мерзлоты стала проектом года

30 января состоялась церемония награждения победителей премии «Проект года» Global CIO 2019

17
12

В «Инфосистемы Джет» появилось направление мониторинга инфраструктуры

Специалисты компании помогут клиентам проактивно реагировать на инциденты и предотвращать сбои в работе бизнеса.

Спасибо!
Ваш материал отправлен.
Мы с вами свяжемся
Предложить
авторский материал
Спасибо!
Вы подписались на обновления наших статей
Подписаться
на рубрику






Спасибо!
Вы подписались на обновления наших статей
Оформить
подписку на журнал







Спасибо!
Вы подписались на обновления наших статей
Оформить
подписку на новости







Спасибо!
Вы подписались на наши новости.
Оформить
подписку на Новости
Спасибо!
Ваша заявка отправлена.
Мы с вами скоро свяжемся.
Задать вопрос
редактору

Оставить заявку

Мы всегда рады ответить на любые Ваши вопросы

* Обязательные поля для заполнения

Спасибо!

Благодарим за обращение. Ваша заявка принята

Наш специалист свяжется с Вами в течение рабочего дня