Check_mk-Agent erlaubt Lesen von Root-Dateien

Eine Sicherheitslücke im Linux-Agent der Monitoring-Software Check_mk erlaubt es Angreifern, beliebige Dateien mit Rootrechten auszulesen. Ein Fix ist bereits erhältlich.

Mitarbeiter der IT-Sicherheitsfirma LSE haben die Schwäche (CVE-2014-0243) in der freien Erweiterung für Nagios und Icinga bei einem Whitebox-Security-Review entdeckt. Der Linux-Agent der Software läuft mit Rootrechten und liest Dateien aus einem Verzeichnis, das die Berechtigungen 1777 besitzt, also für alle Anwender beschreibbar ist. Ein lokaler Angreifer kann dort einen symbolischen oder harten Link zu einer beliebigen Datei platzieren, deren Inhalt der Agent dann mit Rootrechten ausliest und per Netzwerk zur Verfügung stellt. LSE hat im Advisory einen Proof-of-Concept für die Ausnutzung der Schwachstelle publiziert.

Zur raschen Behebung der Schwäche empfehlen die Entdecker, das Verzeichnis “/var/lib/check_mk_agent/job/” mit den Permissions 755 zu versehen. Genauer ist der Fix in einem Eintrag auf der Check_mk-Homepage erläutert. Damit laufen allerdings nur noch Root-Jobs.

Wie der Programmautor Mathias Kettner dem Linux-Magazin auf Anfrage mitteilte, gibt es künftig die Möglichkeit, per “mk-job” überwachte Jobs ohne Rootrechte laufen zu lassen und dennoch auf der sicheren Seite zu sein. Die Nachbesserung wird in der nächsten Stable-Version (1.2.4p3) zur Verfügung stehen. Derzeit ist sie im Master-Zweig des Git-Quelltextes zu haben, Snapshot-Builds soll es in den nächsten Tagen geben.

Das Problem wurde am 20. Mai entdeckt, am 26. Mai hat der Hersteller den offiziellen Fix publiziert, am Folgetag wurde die Schwäche bekanntgegeben. Betroffen sind die Check_mk-Releases ab September 2013 bis v1.2.5i2p1.

E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben