2018-2460: Nagios: Mehrere Schwachstellen ermöglichen Denial-of-Service-Angriffe

Historie:

Version 1 (2018-12-03 15:15)

Neues Advisory

Version 2 (2019-01-18 11:40)

Der Hersteller hat Nagios Core in Version 4.4.3 veröffentlicht, wodurch neben verschiedenen Fehlern auch die Schwachstelle CVE-2018-18245 behoben wird. Diese Schwachstelle ermöglicht einem entfernten, nicht authentisierten Angreifer die Durchführung eines Cross-Site-Scripting (XSS)-Angriffs. Für Fedora 28 und 29 sowie Fedora EPEL 6 und 7 steht Nagios in der Version 4.4.3 als Sicherheitsupdate im Status 'testing' bereit, wodurch die im Advisory genannten Vorgängerversionen FEDORA-2018-70fe6a4d75 (Fedora 28), FEDORA-2018-42555731d2 (Fedora 29), FEDORA-EPEL-2018-61fe7c6e70 (Fedora EPEL 6) und FEDORA-EPEL-2018-0346a55d0f (Fedora EPEL 7) in den Status 'obsolete' versetzt und die Referenzen deshalb hier entfernt wurden.

Betroffene Software

Netzwerk

Betroffene Plattformen

Linux

Beschreibung:

Ein lokaler, nicht authentisierter Angreifer kann mehrere Schwachstellen in Nagios für Denial-of-Service (DoS)-Angriffe ausnutzen, indem er eine speziell präparierte Nutzlast (Payload) an den lauschenden UNIX-Socket sendet.

Für Fedora 28 und 29 sowie für Fedora EPEL 6 und 7 stehen Sicherheitsupdates für 'nagios' im Status 'testing' bereit. Die Software wird damit auf Version 4.4.2 aktualisiert.

In den Sicherheitshinweisen von Fedora wird zusätzlich CVE-2016-8641 erwähnt. Diese Schwachstelle in Nagios vor Version 4.2.3 dürfte aber bereits seit einiger Zeit behoben sein.

Schwachstellen:

CVE-2018-13441 CVE-2018-13457 CVE-2018-13458

Schwachstellen in Nagios ermöglichen Denial-of-Service-Angriffe

CVE-2018-18245

Schwachstelle in Nagios ermöglicht Cross-Site-Scripting-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.