Neue Software-Versionen der Monitoring-Software Icinga, die als Fork aus dem Nagios-Projekt hervorging, stopfen eine kritische Sicherheitslücke. Aufgrund des Schweregrads haben die Entwickler sogar eine Vorankündigung der am heutigen Dienstag erscheinenden Updates veröffentlicht.
Anzeige
In der Sicherheitsmitteilung schreiben die Programmierer der Open-Source-Software, dass die Icinga-2-Master, -Satelliten und -Agents in unterschiedlichen Setups von einer fehlerhaften Zertifikatsüberprüfung betroffen sind. In allen Icinga-Versionen ab 2.4.0 können Angreifer die Prüfung umgehen und so vertrauenswürdige Cluster-Knoten sowie jedweden API-Nutzer, der TLS-Client-Zertifikate zur Authentifizierung nutzt, imitieren (CVE-2024-49369, CVSS 9.8, Risiko "kritisch"). Dadurch können Angreifer bösartig manipulierte Konfigurationen oder sogar auszuführende bösartige Befehle einschleusen, abhängig von den konfigurierten Optionen für den ApiListener. Temporäre Gegenmaßnahmen gibt es nicht, lediglich Zugriffsbeschränkungen des API-Ports mittels Firewall auf vertrauenswürdige Adressen verringere die Angriffsfläche etwas.
Das Changelog zu den neuen Versionen ist zum Meldungszeitpunkt noch nicht verfügbar. Ob die neuen Fassungen weitere Probleme ausbessern, ist daher unklar. Die Versionen 2.14.3, 2.13.10, 2.12.11 und 2.11.12 enthalten die Lücke demzufolge nicht mehr. Admins sollten sie umgehend installieren.
Zudem stellt das Icinga-Projekt aktualisierte Pakete für folgende Umgebungen bereit:
Amazon Linux 2, 2023CentOS 7, 8Debian 10, 11, 12Docker ImagesFedora 37, 38, 39, 40Helm ChartopenSUSE 15.4, 15.5, 15.6Raspberry Pi OS 11, 12 (nur 64-Bit-Versionen)Raspbian 11 (nur 32-Bit-Versionen)Red Hat Enterprise Linux 7, 8, 9SUSE Linux Enterprise Server 12.5, 15.3, 15.4, 15.5, 15.6Ubuntu 18.04, 20.04, 22.04, 23.04, 23.10, 24.04, 24.10Windows Server >= 2012Das Projekt entschuldigt sich für die Unannehmlichkeiten, drängt aber freundlich darauf, dass IT-Verantwortliche so schnell wie möglich die Aktualisierungen anwenden.
Anzeige
Die Programmierer stopfen die Schwachstellen auch in Icinga-Versionen, die an ihrem End-of-Lifecycle (EOL) angelangt sind, betonen sie. Insbesondere hierfür verweist Icinga auf ausgetauschte Schlüssel für die Repositories. Die alten GPG-Schlüssel setzten auf als inzwischen schwach eingestufte 1024-Bit-DSA-Keys. Die neuen Schlüssel setzen auf 4096-Bit-RSA-Keys. Damit signiert Icinga sowohl die Repositories als Ganzes als auch die einzelnen Pakete. In der Mitteilung erörtert Icinga, inwiefern Administratoren aktiv werden müssen, damit die Pakete korrekt geprüft werden können. Für diverse Distributionen liefern sie eine kurze Anleitung, von RHEL über SLES und openSUSE hin zu Debian und Ubuntu.
Monitoring-Software ist wie jede Software gelegentlich von Sicherheitslücken betroffen. Anfang des Jahres mussten Admins gleich für drei populäre Monitoring-Systeme Sicherheitsupdates installieren. Damals waren Splunk, cacti und checkmk von hochriskanten und in einem Fall sogar von einer kritischen Schwachstelle betroffen.
(
Kommentare