Monitoring-Software Icinga: Updates schließen kritische Sicherheitslücke
In Monitoring-Software Icinga klafft eine kritische Sicherheitslücke bei der Zertifikatsüberprüfung. Updates stehen bereit, um sie zu stopfen.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Neue Software-Versionen der Monitoring-Software Icinga, die als Fork aus dem Nagios-Projekt hervorging, stopfen eine kritische Sicherheitslücke. Aufgrund des Schweregrads haben die Entwickler sogar eine Vorankündigung der am heutigen Dienstag erscheinenden Updates veröffentlicht.
In der Sicherheitsmitteilung schreiben die Programmierer der Open-Source-Software, dass die Icinga-2-Master, -Satelliten und -Agents in unterschiedlichen Setups von einer fehlerhaften Zertifikatsüberprüfung betroffen sind. In allen Icinga-Versionen ab 2.4.0 können Angreifer die Prüfung umgehen und so vertrauenswürdige Cluster-Knoten sowie jedweden API-Nutzer, der TLS-Client-Zertifikate zur Authentifizierung nutzt, imitieren (CVE-2024-49369, CVSS 9.8, Risiko "kritisch"). Dadurch können Angreifer bösartig manipulierte Konfigurationen oder sogar auszuführende bösartige Befehle einschleusen, abhängig von den konfigurierten Optionen für den ApiListener. Temporäre Gegenmaßnahmen gibt es nicht, lediglich Zugriffsbeschränkungen des API-Ports mittels Firewall auf vertrauenswürdige Adressen verringere die Angriffsfläche etwas.
Updates für aktuelle Produkte
Das Changelog zu den neuen Versionen ist zum Meldungszeitpunkt noch nicht verfügbar. Ob die neuen Fassungen weitere Probleme ausbessern, ist daher unklar. Die Versionen 2.14.3, 2.13.10, 2.12.11 und 2.11.12 enthalten die Lücke demzufolge nicht mehr. Admins sollten sie umgehend installieren.
Zudem stellt das Icinga-Projekt aktualisierte Pakete für folgende Umgebungen bereit:
- Amazon Linux 2, 2023
- CentOS 7, 8
- Debian 10, 11, 12
- Docker Images
- Fedora 37, 38, 39, 40
- Helm Chart
- openSUSE Leap 15.4, 15.5, 15.6
- Raspberry Pi OS 11, 12 (nur 64-Bit-Versionen)
- Raspbian 11 (nur 32-Bit-Versionen)
- Red Hat Enterprise Linux 7, 8, 9
- SUSE Linux Enterprise Server 12.5, 15.3, 15.4, 15.5, 15.6
- Ubuntu 18.04, 20.04, 22.04, 23.04, 23.10, 24.04, 24.10
- Windows Server >= 2012
Das Projekt entschuldigt sich für die Unannehmlichkeiten, drängt aber freundlich darauf, dass IT-Verantwortliche so schnell wie möglich die Aktualisierungen anwenden. Zu den Distributionen hat SUSE angemerkt, dass openSUSE Leap 15.4 im vergangenen Dezember offiziell am Support-Ende angelangt ist und daher der Einsatz nicht zu empfehlen sei. Außerdem sei das Icinga2-Paket kein Teil der SLES-Distributionen, daher entfalle für die Nutzung darin der L3-Support.Des Weiteren ist die Rolling Release Distribution openSUSE Tumbleweed ebenfalls betroffen.
Veraltete Produkte nach End-of-Lifecycle
Die Programmierer stopfen die Schwachstellen auch in Icinga-Versionen, die an ihrem End-of-Lifecycle (EOL) angelangt sind, betonen sie. Insbesondere hierfür verweist Icinga auf ausgetauschte Schlüssel für die Repositories. Die alten GPG-Schlüssel setzten auf als inzwischen schwach eingestufte 1024-Bit-DSA-Keys. Die neuen Schlüssel setzen auf 4096-Bit-RSA-Keys. Damit signiert Icinga sowohl die Repositories als Ganzes als auch die einzelnen Pakete. In der Mitteilung erörtert Icinga, inwiefern Administratoren aktiv werden müssen, damit die Pakete korrekt geprüft werden können. Für diverse Distributionen liefern sie eine kurze Anleitung, von RHEL über SLES und openSUSE hin zu Debian und Ubuntu.
Monitoring-Software ist wie jede Software gelegentlich von Sicherheitslücken betroffen. Anfang des Jahres mussten Admins gleich für drei populäre Monitoring-Systeme Sicherheitsupdates installieren. Damals waren Splunk, cacti und checkmk von hochriskanten und in einem Fall sogar von einer kritischen Schwachstelle betroffen.
SUSE hat um die Ergänzung von Informationen zu den betroffenen Distributionen aus dem Hause gebeten. Wir haben sie im Text ergänzt.
(dmk)