Sicherheitslücke beim Netzwerkmonitor Nagios
Der "Nagios Remote Plugin Executor" führt unter Umständen eingeschleuste Befehle aus. Diese Umstände deuten allerdings schon auf eine generell unsichere Konfiguration hin.
In einem Sicherheits-Advisory warnt Dawid Golunski vor einem ernsten Problem des Nagios Remote Plugin Executor (NPRE), einer beliebten Erweiterung des Netzwerk-Monitoring-Toolkits Nagios. Via NPRE kann man übers Netz vordefinierte Nagios-Plugins ausführen; das kommt oft zum Einsatz, um bestimmte lokale Informationen abzurufen. Baut ein Angreifer die Kommandozeilenparameter zum Aufruf eines solchen Moduls ein Newline-zeichen ein (\n), kann er darüber beliebige Befehle einschleusen und ausführen.
Betroffen ist NRPE bis Version 2. 15 wenn folgende Voraussetzungen erfüllt sind:
- Der Angreifer kann mit dem NRPE-Dienst sprechen. Das kann einem lokalen Netz durchaus der Fall sein; für externe Angreifer sollte das nicht ohne weiteres möglich sein.
- In der Konfiguration in nrpe.cfg wurde die Übergabe von Parametern explizit mit
dont_blame_nrpe=1
aktiviert; davor wird wegen der damit verbundenen Risiken an vielen Stellen gewarnt. Allerdings gibt es viele Tutorials, die es trotzdem empfehlen.
Ein vorgeschlagener Fix nimmt das Newline-Zeichen in die Liste der NASTY_METACHARS auf. Das Debian-Team arbeitet bereits an Updates. Als Workaround bis zur Installation einer gefixten Version, kann man sich schützen, indem man die zu übergebenden Argumente in der Konfig-Datei in Anführungszeichen setzt. (ju)