Nagios projesinin bir çatalı olarak doğan Icinga izleme yazılımının yeni versiyonları, güvenlik açısından kritik bir boşluğu dolduruyor. Ciddiyet nedeniyle geliştiriciler bu Salı günü yayınlanacak güncellemeler hakkında bir uyarı bile yayınladılar.
Duyuru
Açık kaynaklı yazılımın programcıları, güvenlik tavsiyesinde, farklı konfigürasyonlardaki Icinga 2 master'larının, uydularının ve acentelerinin hatalı sertifika doğrulamasından etkilendiğini yazıyor. Icinga'nın 2.4.0'dan itibaren tüm sürümlerinde, saldırganlar kontrolü atlayabilir ve kimlik doğrulama için TLS istemci sertifikalarını (CVE-2024-49369, CVSS) kullanarak güvenilen küme düğümlerini ve herhangi bir API kullanıcısını taklit edebilir. 9.8“Risk”eleştirmen“). Bu, saldırganların kötü amaçlı yapılandırmalar eklemesine ve hatta yapılandırılan seçeneklere bağlı olarak kötü amaçlı komutlar yürütmesine olanak tanır. ApiListener. Geçici bir karşı önlem yoktur; yalnızca güvenlik duvarları aracılığıyla güvenilir adreslere API bağlantı noktası erişim kısıtlamaları, saldırı yüzeyini biraz azaltır.
Mevcut ürünler için güncellemeler
Yeni sürümlerin değişiklik günlüğü, raporlama sırasında henüz mevcut değil. Bu nedenle yeni sürümlerin ek sorunları çözüp çözmediği belli değil. Sürümler 2.14.3, 2.13.10, 2.12.11 VE 2.11.12 bu yüzden artık boşluğu içermeyin. Yöneticiler bunu hemen yüklemelidir.
Ayrıca Icinga projesi aşağıdaki ortamlar için güncellenmiş paketler sağlar:
Kullanım ömrü sonunda eski ürünler
Programcılar ayrıca Icinga'nın kullanım ömrünün sonuna (EOL) ulaşan sürümlerindeki güvenlik açıklarını da yamadıklarını belirtiyorlar. Özellikle Icinga, depolar için değiştirilen anahtarları ifade eder. Eski GPG anahtarları, artık zayıf olarak sınıflandırılan 1024 bit DSA anahtarlarını temel alıyordu. Yeni anahtarlar 4096 bit RSA anahtarlarını temel alıyor. Icinga bunu hem depoları bir bütün olarak hem de bireysel paketleri imzalamak için kullanır. Mesajda Icinga, paketlerin düzgün bir şekilde denetlenebilmesi için yöneticilerin ne yapması gerektiğini tartışıyor. RHEL'den SLES'e ve openSUSE'den Debian ve Ubuntu'ya kadar çeşitli dağıtımlar için kısa talimatlar sağlarlar.
Tüm yazılımlar gibi izleme yazılımı da zaman zaman güvenlik açıklarından etkilenir. Bu yılın başlarında yöneticilerin üç popüler izleme sistemi için güvenlik güncellemelerini yüklemesi gerekiyordu. O dönemde Splunk, Cactus ve Checkmk yüksek riskli ve bir durumda kritik güvenlik açıklarından etkileniyordu.
(Bilmiyorum)
Duyuru
Açık kaynaklı yazılımın programcıları, güvenlik tavsiyesinde, farklı konfigürasyonlardaki Icinga 2 master'larının, uydularının ve acentelerinin hatalı sertifika doğrulamasından etkilendiğini yazıyor. Icinga'nın 2.4.0'dan itibaren tüm sürümlerinde, saldırganlar kontrolü atlayabilir ve kimlik doğrulama için TLS istemci sertifikalarını (CVE-2024-49369, CVSS) kullanarak güvenilen küme düğümlerini ve herhangi bir API kullanıcısını taklit edebilir. 9.8“Risk”eleştirmen“). Bu, saldırganların kötü amaçlı yapılandırmalar eklemesine ve hatta yapılandırılan seçeneklere bağlı olarak kötü amaçlı komutlar yürütmesine olanak tanır. ApiListener. Geçici bir karşı önlem yoktur; yalnızca güvenlik duvarları aracılığıyla güvenilir adreslere API bağlantı noktası erişim kısıtlamaları, saldırı yüzeyini biraz azaltır.
Mevcut ürünler için güncellemeler
Yeni sürümlerin değişiklik günlüğü, raporlama sırasında henüz mevcut değil. Bu nedenle yeni sürümlerin ek sorunları çözüp çözmediği belli değil. Sürümler 2.14.3, 2.13.10, 2.12.11 VE 2.11.12 bu yüzden artık boşluğu içermeyin. Yöneticiler bunu hemen yüklemelidir.
Ayrıca Icinga projesi aşağıdaki ortamlar için güncellenmiş paketler sağlar:
- Amazon Linux 2, 2023
- CentOS 7, 8
- Debian10, 11, 12
- Docker görselleri
- Fedora37, 38, 39, 40
- Dümen tablosu
- openSUSE 15.4, 15.5, 15.6
- Raspberry Pi OS 11, 12 (yalnızca 64 bit sürümler)
- Raspbian 11 (yalnızca 32 bit sürümler)
- Red Hat Kurumsal Linux 7, 8, 9
- SUSE Linux Kurumsal Sunucu 12.5, 15.3, 15.4, 15.5, 15.6
- Ubuntu 18.04, 20.04, 22.04, 23.04, 23.10, 24.04, 24.10
- Windows Sunucusu >= 2012
Kullanım ömrü sonunda eski ürünler
Programcılar ayrıca Icinga'nın kullanım ömrünün sonuna (EOL) ulaşan sürümlerindeki güvenlik açıklarını da yamadıklarını belirtiyorlar. Özellikle Icinga, depolar için değiştirilen anahtarları ifade eder. Eski GPG anahtarları, artık zayıf olarak sınıflandırılan 1024 bit DSA anahtarlarını temel alıyordu. Yeni anahtarlar 4096 bit RSA anahtarlarını temel alıyor. Icinga bunu hem depoları bir bütün olarak hem de bireysel paketleri imzalamak için kullanır. Mesajda Icinga, paketlerin düzgün bir şekilde denetlenebilmesi için yöneticilerin ne yapması gerektiğini tartışıyor. RHEL'den SLES'e ve openSUSE'den Debian ve Ubuntu'ya kadar çeşitli dağıtımlar için kısa talimatlar sağlarlar.
Tüm yazılımlar gibi izleme yazılımı da zaman zaman güvenlik açıklarından etkilenir. Bu yılın başlarında yöneticilerin üç popüler izleme sistemi için güvenlik güncellemelerini yüklemesi gerekiyordu. O dönemde Splunk, Cactus ve Checkmk yüksek riskli ve bir durumda kritik güvenlik açıklarından etkileniyordu.
(Bilmiyorum)