Comretix Blog

Wir bieten aktuelle Informationen über uns und aus der IT Welt.

Monitoring-Software Icinga: Updates schließen kritische Sicherheitslücke

Neue Software-Versionen der Monitoring-Software Icinga, die als Fork aus dem Nagios-Projekt hervorging, stopfen eine kritische Sicherheitslücke. Aufgrund des Schweregrads haben die Entwickler sogar eine Vorankündigung der am heutigen Dienstag erscheinenden Updates veröffentlicht.

Anzeige

In der Sicherheitsmitteilung schreiben die Programmierer der Open-Source-Software, dass die Icinga-2-Master, -Satelliten und -Agents in unterschiedlichen Setups von einer fehlerhaften Zertifikatsüberprüfung betroffen sind. In allen Icinga-Versionen ab 2.4.0 können Angreifer die Prüfung umgehen und so vertrauenswürdige Cluster-Knoten sowie jedweden API-Nutzer, der TLS-Client-Zertifikate zur Authentifizierung nutzt, imitieren (CVE-2024-49369, CVSS 9.8, Risiko "kritisch"). Dadurch können Angreifer bösartig manipulierte Konfigurationen oder sogar auszuführende bösartige Befehle einschleusen, abhängig von den konfigurierten Optionen für den ApiListener. Temporäre Gegenmaßnahmen gibt es nicht, lediglich Zugriffsbeschränkungen des API-Ports mittels Firewall auf vertrauenswürdige Adressen verringere die Angriffsfläche etwas.

Das Changelog zu den neuen Versionen ist zum Meldungszeitpunkt noch nicht verfügbar. Ob die neuen Fassungen weitere Probleme ausbessern, ist daher unklar. Die Versionen 2.14.3, 2.13.10, 2.12.11 und 2.11.12 enthalten die Lücke demzufolge nicht mehr. Admins sollten sie umgehend installieren.

Zudem stellt das Icinga-Projekt aktualisierte Pakete für folgende Umgebungen bereit:

Amazon Linux 2, 2023CentOS 7, 8Debian 10, 11, 12Docker ImagesFedora 37, 38, 39, 40Helm ChartopenSUSE 15.4, 15.5, 15.6Raspberry Pi OS 11, 12 (nur 64-Bit-Versionen)Raspbian 11 (nur 32-Bit-Versionen)Red Hat Enterprise Linux 7, 8, 9SUSE Linux Enterprise Server 12.5, 15.3, 15.4, 15.5, 15.6Ubuntu 18.04, 20.04, 22.04, 23.04, 23.10, 24.04, 24.10Windows Server >= 2012

Das Projekt entschuldigt sich für die Unannehmlichkeiten, drängt aber freundlich darauf, dass IT-Verantwortliche so schnell wie möglich die Aktualisierungen anwenden.

Anzeige

Die Programmierer stopfen die Schwachstellen auch in Icinga-Versionen, die an ihrem End-of-Lifecycle (EOL) angelangt sind, betonen sie. Insbesondere hierfür verweist Icinga auf ausgetauschte Schlüssel für die Repositories. Die alten GPG-Schlüssel setzten auf als inzwischen schwach eingestufte 1024-Bit-DSA-Keys. Die neuen Schlüssel setzen auf 4096-Bit-RSA-Keys. Damit signiert Icinga sowohl die Repositories als Ganzes als auch die einzelnen Pakete. In der Mitteilung erörtert Icinga, inwiefern Administratoren aktiv werden müssen, damit die Pakete korrekt geprüft werden können. Für diverse Distributionen liefern sie eine kurze Anleitung, von RHEL über SLES und openSUSE hin zu Debian und Ubuntu.

Monitoring-Software ist wie jede Software gelegentlich von Sicherheitslücken betroffen. Anfang des Jahres mussten Admins gleich für drei populäre Monitoring-Systeme Sicherheitsupdates installieren. Damals waren Splunk, cacti und checkmk von hochriskanten und in einem Fall sogar von einer kritischen Schwachstelle betroffen.

Jetzt heise Security Pro entdecken

Jetzt heise Security Pro entdecken

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

(Ursprünglich geschrieben von Dirk Knop)
×
Stay Informed

When you subscribe to the blog, we will send you an e-mail when there are new updates on the site so you wouldn't miss them.

Gdata: Update-Probleme im Telekom-Netz
Europol warnt vor Rekrutierung Minderjähriger durc...
 

Kommentare

Derzeit gibt es keine Kommentare. Schreibe den ersten Kommentar!
Bereits registriert? Hier einloggen
Montag, 20. Januar 2025

Die Comretix GmbH ist ein IT Systemhaus aus Tuttlingen. Seit über 30 Jahren betreuen wir unsere Kunden in Baden-Württemberg, der Schweiz und im gesamten Bundesgebiet mit Leidenschaft, Fairness und Loyalität. Wir bauen auf eine zuverlässige Partnerschaft mit unseren Lieferanten und Kunden. Unseren Mitarbeitern stehen wir auf Augenhöhe gegenüber.

Image