2017-0245: Nagios: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes
Historie:
- Version 1 (2017-02-13 11:17)
- Neues Advisory
- Version 2 (2017-05-15 11:06)
- Für Fedora EPEL 6 steht ein neues Sicherheitsupdate zur Behebung der Schwachstellen in Nagios im Status 'testing' bereit. Die neue Version ist 4.3.2, das bisherige Sicherheitsupdate FEDORA-EPEL-2017-acd2c2af0d ist damit im Status 'obsolete'.
- Version 3 (2017-06-15 16:17)
- Für Fedora EPEL 6 steht ein erneut ein aktualisiertes Sicherheitsupdate zur Behebung der Schwachstellen in Nagios im Status 'testing' bereit. Das neue Update ist wieder mit dem Hinweis 'Security' gekennzeichnet, es sind aber keine neuen Schwachstellen aufgeführt. Das bisherige Update befindet sich damit im Status 'obsolete' (Referenz entfernt).
- Version 4 (2017-06-30 11:15)
- Das zuvor veröffentlichte Paket 'nagios-4.3.2-3.el6 ist in den Status 'obsolete' versetzt und durch das Paket 'nagios-4.3.2-5.el6' (Status 'testing') ersetzt worden. Das neue Update ist wieder mit dem Hinweis 'Security' gekennzeichnet, es sind aber keine neuen Schwachstellen aufgeführt.
Betroffene Software
Netzwerk
Betroffene Plattformen
Linux
Beschreibung:
Mehrere Schwachstellen in Snoopy, das von Nagios verwendet wird, ermöglichen einem entfernten, nicht authentifizierten Angreifer die Ausführung beliebigen Programmcodes. Mehrere weitere Schwachstellen in Nagios selbst ermöglichen einem entfernten, einfach und nicht authentifizierten Angreifer die Ausführung verschiedener Denial-of-Service-Angriffe. Eine weitere Schwachstelle ermöglicht einem lokalen, nicht authentifizierten Angreifer die Manipulation von Dateien und eine andere einem lokalen, einfach authentifizierten Angreifer die Eskalation seiner Privilegien bis hin zu Root-Rechten.
Für Fedora EPEL 6 steht ein Sicherheitsupdate für Nagios im Status 'testing' bereit. Als Zielversion wird Version 4.2.4 angegeben, die vorherige Version in Fedora EPEL 6 war 4.0.8.
Schwachstellen:
CVE-2008-4796
Schwachstelle in Snoopy ermöglicht Ausführen beliebigen ProgrammcodesCVE-2008-7313
Schwachstelle in Snoopy ermöglicht Ausführen beliebigen ProgrammcodesCVE-2013-4214
Schwachstelle in Nagios ermöglicht das Manipulieren von DateienCVE-2013-7108
Schwachstelle in Nagios ermöglicht Denial-of-Service-AngriffCVE-2013-7205
Schwachstelle in Nagios ermöglicht Denial-of-Service-AngriffCVE-2014-1878
Schwachstelle in Nagios ermöglicht Denial-of-Service-AngriffCVE-2014-5008
Schwachstelle in Snoopy ermöglicht Ausführen beliebigen ProgrammcodesCVE-2014-5009
Schwachstelle in Snoopy ermöglicht Ausführen beliebigen ProgrammcodesCVE-2016-9566
Schwachstelle in Icinga und Nagios ermöglicht Erlangen von Administratorrechten
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.