Update für Nagios schließt "Cross Site Request Forgery"-Lücke
Ohne Update könnte ein Angreifer ohne eigene Authentifizierung auf die Weboberfläche des Tools zugreifen und etwa die Konfiguration ändern. Allerdings müsste er dazu den Browser eines Nagios-Admins als Sprungbrett missbrauchen.
- Daniel Bachfeld
In Version 3.0.5 des freien Tools Nagios zur Überwachung von Servern und Netzwerkkomponenten haben die Entwickler eine "Cross Site Request Forgery"-Schwachstelle geschlossen. Andernfalls wäre es Angreifern möglich gewesen, ohne eigene Authentifizierung auf die Weboberfläche des Tools zuzugreifen und etwa die Konfiguration zu ändern. Dazu hätte der Nagios-Anwender jedoch nach seiner Anmeldung an Nagios parallel noch ein Fenster mit einer präparierten Webseite geöffnet haben müssen. Ursache des Problems war die fehlende Gültigkeitsprüfung von HTTP-Requests.
Zwar dient Nagios nur der Überwachung und nicht der Steuerung von Systemen, ein Angreifer könnte durch Manipulation der Überwachung aber etwa den Ausfall eines wichtigen (Sicherheits-)Systems verschleiern. Mit Cross Site Request Forgery und anderen Angriffen befasst sich auch der Artikel Dunkle Flecken - Neuartige Angriffe überrumpeln Webanwender auf heise Security.
Darüber hinaus haben die Entwickler laut Changelog noch vier kleinere, nicht sicherheitsrelevante Fehler korrigiert und die Dokumentation hinsichtlich möglicher Sicherheitsprobleme im Umgang mit dem Common Gateway Interface (CGI) ergänzt.
Siehe dazu auch:
- Nagios 3.x Version History, Beschreibung von Nagios
- Nagios im heise Software-Verzeichnis
(dab)
