heise PlusAbo
Anzeige

SicherheitslĂĽcke beim Netzwerkmonitor Nagios

Der "Nagios Remote Plugin Executor" führt unter Umständen eingeschleuste Befehle aus. Diese Umstände deuten allerdings schon auf eine generell unsichere Konfiguration hin.

vorlesen Druckansicht 20 Kommentare lesen
Lesezeit: 1 Min.
Security
Von

Via NRPE kann man Ressourcen auf externen Systemen ĂĽberwachen.

(Bild: Nagios )

In einem Sicherheits-Advisory warnt Dawid Golunski vor einem ernsten Problem des Nagios Remote Plugin Executor (NPRE), einer beliebten Erweiterung des Netzwerk-Monitoring-Toolkits Nagios. Via NPRE kann man ĂĽbers Netz vordefinierte Nagios-Plugins ausfĂĽhren; das kommt oft zum Einsatz, um bestimmte lokale Informationen abzurufen. Baut ein Angreifer die Kommandozeilenparameter zum Aufruf eines solchen Moduls ein Newline-zeichen ein (\n), kann er darĂĽber beliebige Befehle einschleusen und ausfĂĽhren.

Betroffen ist NRPE bis Version 2. 15 wenn folgende Voraussetzungen erfĂĽllt sind:

  • Der Angreifer kann mit dem NRPE-Dienst sprechen. Das kann einem lokalen Netz durchaus der Fall sein; fĂĽr externe Angreifer sollte das nicht ohne weiteres möglich sein.
  • In der Konfiguration in nrpe.cfg wurde die Ăśbergabe von Parametern explizit mit dont_blame_nrpe=1 aktiviert; davor wird wegen der damit verbundenen Risiken an vielen Stellen gewarnt. Allerdings gibt es viele Tutorials, die es trotzdem empfehlen.

Ein vorgeschlagener Fix nimmt das Newline-Zeichen in die Liste der NASTY_METACHARS auf. Das Debian-Team arbeitet bereits an Updates. Als Workaround bis zur Installation einer gefixten Version, kann man sich schĂĽtzen, indem man die zu ĂĽbergebenden Argumente in der Konfig-Datei in AnfĂĽhrungszeichen setzt. (ju)

Mehr zum Thema

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten