Gestern Abend wurde der CVE-2013-2214 für Nagios veröffentlicht, welcher eine Sicherheitslücke bei der Anzeige von nicht authorisierten Benutzern in den Servicegroupansichten beschreibt. Das betrifft sowohl Nagios 3 und 4 – das zugehörige Ticket ist in deren Bugtracker zu finden.
All jene, die Icinga mit der Classic UI einsetzen, können diesen CVE getrost ignorieren. Die Classic UI Entwickler haben das vor langer Zeit schon so umgeschrieben, dass alle Ansichten zuerst gegen Filter und Authorisierung geprüft werden und erst dann alle gültigen Daten in der GUI angezeigt werden. Ein offizielles Statement dazu gibts im Icinga Blog.
So gesehen ist der Nagios Patch auch nur ein Workaround, und schliesst vermutlich weitere mögliche Bugs und CVEs nicht aus. Paketupdates sind wohl schon in Vorbereitung (RHEL, Debian), ein offizielles Nagios Release gibts augenscheinlich noch nicht.
Tipp an dieser Stelle: Warum man die Icinga Classic UI statt Nagios verwenden sollte, steht beispielsweise hier oder hier. Wir unterstützen auch gerne bei der Migration! 🙂
0 Kommentare