<p dir="ltr">JC</p>
<p dir="ltr">Reporting some typos, in case you're republishing these notes:</p>
<p dir="ltr">"However, when combined with CVE-2016-xxxx" needs the xxxx updated.</p>
<p dir="ltr">"mode rw-rw--- (600)" should be 660.</p>
<p dir="ltr">Cheers<br>
Jeremy<br>
</p>
<br><div class="gmail_quote"><div dir="ltr">On Tue, 9 Feb 2016 07:06 J.C. Cleaver <<a href="mailto:cleaver@terabithia.org">cleaver@terabithia.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hello all,<br>
<br>
<br>
Xymon 4.3.25 has been released and is now available for download at<br>
<a href="https://sourceforge.net/projects/xymon/" rel="noreferrer" target="_blank">https://sourceforge.net/projects/xymon/</a><br>
<br>
<br>
Version 4.3.25 includes fixes for several security issues in the server<br>
component of the Xymon monitoring system, which are further detailed<br>
below. In addition, there are several other feature additions, and several<br>
bug fixes and reliability improvements.<br>
<br>
Full release notes and a Changelog are available at<br>
<a href="https://sourceforge.net/projects/xymon/files/Xymon/4.3.25/" rel="noreferrer" target="_blank">https://sourceforge.net/projects/xymon/files/Xymon/4.3.25/</a><br>
<br>
These issues affect all versions of Xymon 4.3.x prior to 4.3.25, as well<br>
as the obsolete 4.1.x and 4.2.x versions. All Xymon users are strongly<br>
encouraged to upgrade their server component.<br>
<br>
<br>
We would like to greatly thank Markus Krell for his responsible reporting<br>
of these issues and for his assistance in testing their resolution.<br>
<br>
<br>
And as always, thank you to everyone who has contributed code or submitted<br>
feature suggestions or bug reports to the Xymon project.<br>
<br>
<br>
Regards,<br>
<br>
Japheth "J.C." Cleaver<br>
Xymon 4.x Maintainer<br>
<br>
<br>
<br>
* CVE-2016-2054: Buffer overflow in xymond handling of "config" command:<br>
The xymond daemon performs an unchecked copying of a user-supplied<br>
filename to a fixed-size buffer when handling a "config" command. This<br>
may be used to trigger a buffer overflow in xymond, possibly resulting<br>
in remote code execution and/or denial of service of the Xymon<br>
monitoring system. This code will run with the privileges of the xymon<br>
userid.<br>
<br>
This bug may be triggered by anyone with network access to the xymond<br>
service on port 1984, unless access has been restricted with the<br>
"--status-senders" option (a non-default configuration).<br>
<br>
This bug has been patched in Xymon 4.3.25.<br>
<br>
<br>
* CVE-2016-2055: Access to possibly confidential files in the Xymon<br>
configuration directory:<br>
The xymond daemon will allow anyone with network access to the xymond<br>
network port (1984)  to download configuration files in the Xymon "etc"<br>
directory. In a default installation, the Apache htaccess file<br>
"xymonpasswd" controlling access to the administrator webpages is<br>
installed in this directory and is therefore available for download. The<br>
passwords in the file are hashed, but may then be brute-forced off-line.<br>
<br>
This bug may be triggered by anyone with network access to the xymond<br>
service on port 1984, unless access has been restricted with the<br>
"--status-senders" option (a non-default configuration).<br>
<br>
Administrators of existing installations should ensure that the<br>
xymonpasswd file is not readable by the userid running the xymond<br>
daemon. Permissions should be: Owner=webserver UID, group=webserver GID,<br>
mode rw-rw--- (600). This will be the default configuration starting<br>
with Xymon 4.3.25. In addition, the "config" command will only allow<br>
access to regular files. By default, only files ending in ".cfg" may be<br>
directly retrieved, although this can be overridden by the administrator,<br>
and config files may include other files and directories using existing<br>
directives.<br>
<br>
Alternatively, the file may be moved to a location outside the Xymon<br>
configuration directory. The Xymon cgioptions.cfg file must then be<br>
edited so CGI_USERADM_OPTS and CGI_CHPASSWD_OPTS include<br>
"--passwdfile=FILENAME".<br>
<br>
<br>
* CVE-2016-2056: Shell command injection in the "useradm" and "chpasswd"<br>
web applications:<br>
The useradm and chpasswd web applications may be used to administer<br>
passwords for user authentication in Xymon, acting as a web frontend to<br>
the Apache "htpasswd" application. The htpasswd command is invoked via a<br>
shell command, and it is therefore possible to inject arbitrary commands<br>
and have them executed with the privileges of the webserver (CGI) user.<br>
<br>
This bug can only be triggered by web users with access to the Xymon<br>
webpages, who are already authenticated as Xymon users. However, when<br>
combined with CVE-2016-xxxx which allows for off-line cracking of<br>
password hashes, this bug may be exploitable by others.<br>
<br>
This bug has been patched in Xymon 4.3.25.<br>
<br>
<br>
* CVE-2016-2057: Incorrect permissions on IPC queues used by the xymond<br>
daemon can bypass IP access filtering:<br>
An IPC message queue used by the xymon daemon is created with<br>
world-write permissions, allowing a local user on the Xymon master<br>
server to inject all types of messages into Xymon, bypassing any<br>
IP-based access controls.<br>
<br>
Exploitation of this bug requires local access to the Xymon master server.<br>
<br>
This bug has been patched in Xymon 4.3.25.<br>
<br>
<br>
* CVE-2016-2058: Javascript injection in "detailed status webpage" of<br>
monitoring items:<br>
A status-message sent from a Xymon client may contain any data,<br>
including HTML, which will be included on the "detailed status" page<br>
available via the Xymon status webinterface. A malicious user may send a<br>
status message containing custom Javascript code, which will then be<br>
rendered in the browser of the user viewing the status page.<br>
<br>
Exploitation of this bug requires that you can control the contents of a<br>
status message sent to Xymon, which is possible if you control one of<br>
the servers monitored by Xymon, or the Xymon master server. Also, the<br>
bug requires a user to actually view the "detailed status" webpage.<br>
<br>
This bug has been patched in Xymon 4.3.25 by including a<br>
"Content-Security-Policy" HTTP header in the response sent to the<br>
browser. This means that older browsers may still be vulnerable to this<br>
issue.<br>
<br>
<br>
* CVE-2016-2058: XSS vulnerability via malformed acknowledgment messages:<br>
(Note that this uses the same CVE id as the Javascript injection issue)<br>
The message sent by a user to indicate acknowledgment of an alert is not<br>
HTML-escaped before being displayed on the status webpage, which may be<br>
used to trigger a cross-site scripting vulnerability.<br>
<br>
Exploitation of this bug requires that the attacker is able to<br>
acknowledge an alert status. This requires user-authenticated access to<br>
the Xymon webpages, or that the user receives a message (usually via<br>
e-mail) containing the authentication token for the acknowledgment.<br>
<br>
This bug has been patched in Xymon 4.3.25.<br>
<br>
<br>
<br>
_______________________________________________<br>
Xymon mailing list<br>
<a href="mailto:Xymon@xymon.com" target="_blank">Xymon@xymon.com</a><br>
<a href="http://lists.xymon.com/mailman/listinfo/xymon" rel="noreferrer" target="_blank">http://lists.xymon.com/mailman/listinfo/xymon</a><br>
</blockquote></div>