2016-1929: Monit: Eine Schwachstelle ermöglicht einen Cross-Site-Request-Forgery-Angriff

Historie:

Version 1 (2016-11-23 12:40)

Neues Advisory

Version 2 (2017-12-28 10:34)

Für Fedora 26 und 27 sowie für Fedora EPEL 6 und 7 stehen Sicherheitsupdates in Form des Pakets 'monit-5.25.1-1' im Status 'testing' bereit.

Betroffene Software

Netzwerk
Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Eine Schwachstelle in Monit ermöglicht einem entfernten, nicht authentifizierten Angreifer über einen Cross-Site-Request-Forgery (CSRF)-Angriff die Überwachung eines Hostsystems oder Dienstes gezielt ein- oder auszuschalten.

Der Hersteller stellt die Programmversion 5.20.0 bereit, um die Schwachstelle zu beheben.

Für openSUSE 13.2 sowie openSUSE Leap 42.1 und 42.2 stehen die jeweiligen Sicherheitsupdates für Monit auf Version 5.20 bereit. Die Monit-Pakete wurden hierbei darüber hinaus so vorbereitet, dass sie ohne Unterstützung von SSLv3 kompiliert werden können, wodurch die unter dem Namen 'POODLE' bekannte Schwachstelle CVE-2014-3566 in Monit behoben wird.

Schwachstellen:

CVE-2014-3566

POODLE: SSL 3.0 Protokoll, wie z.B. in OpenSSL verwendet, ermöglicht das Ausspähen von Informationen

CVE-2016-7067

Schwachstelle in Monit ermöglicht Cross-Site-Request-Forgery-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.