Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket nagios-rpm-macros
Paket icinga

Betroffene Plattformen:

openSUSE 12.2

Mehrere Schwachstellen in Icinga und den Nagios RPM Macros ermöglichen einem
Angreifer schlimmstenfalls Zugriff auf alle MySQL-Datenbanken des Systems zu
erlangen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://download.novell.com/index.jsp

Icinga 2994: Schwachstellen in Icinga

In Icinga vor Version 1.7.1 enthält das Script ‘create_mysqldb.sh’ zwei
Schwachstellen. Es erlaubt für den Icinga-Benutzer Zugriff auf alle
Datenbanken und es versäumt das MySQL-Passwort fehlerfrei zu überprüfen.
Dies erlaubt einem Angreifer schlimmstenfalls Zugriff zu allen
MySQL-Datenbanken des Systems zu erlangen.

Icinga 2182: Schwachstelle in Icinga

In Icinga vor Version 1.7.0 wird in der Datei
‘nagioscore/trunk/base/checks.c’ beim Überprüfen des ‘Re-Schedulings’ eine
unverhältnismäßig lange Schleife durchlaufen. Gelingt einem Angreifer, einen
‘Re-Schedulings’-Prozess anzustoßen, ist es ihm möglich, einen
Denial-of-Service-Angriff durchzuführen.

Icinga 2666: Schwachstelle in Icinga

Icinga vor Version 1.7.1 enthält in den Dateien ‘base/utils.c’ und
‘common/downtime.c’ mehrere Speicherlecks. Bei häufigem Auftreten eines
‘SIGHUP’-Signals kann dies zu einem Denial-of-Service-Zustand führen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-1748/

Das Hersteller Advisory:
http://lists.opensuse.org/opensuse-updates/

Icinga Bug Reports:
https://dev.icinga.org/issues/2666
https://dev.icinga.org/issues/2994
https://dev.icinga.org/issues/2182

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.