Alert!

Sicherheitsupdate: Passwort-LĂĽcke bedroht Nagios XI

Angreifer können die Server-Monitoring-Lösung Nagios XI attackieren. Eine dagegen abgesicherte Version ist verfügbar.

In Pocket speichern vorlesen Druckansicht

(Bild: Artur Szczybylo/Shutterstock.com)

Lesezeit: 1 Min.

Admins, die Server mit der Open-Source-Software Nagios XI überwachen, sollten die Monitoring-Lösung zeitnah auf den aktuellen Stand bringen. Andernfalls können Angreifer an vier Sicherheitslücken ansetzen.

Wie aus einem Beitrag hervorgeht, sind Sicherheitsforscher von Outpost24 auf die Schwachstellen (CVE-2023-40931, CVE-2023-40932, CVE-2023-40933, CVE-2023-40934) gestoĂźen. Eine Einstufung des Bedrohungsgrads steht derzeit noch aus.

Angreifer können unter anderem auf der Admin-Seite für eine SQL-Attacke an den Announcement-Banner-Einstellungen ansetzen. Dafür benötigen Angreifer aber bestimmte Rechte. Wie eine Attacke ablaufen kann, ist zurzeit unklar.

Eine XSS-Lücke betrifft individuell angelegte Firmenlogos, die auf allen Unterseiten platziert sind. Darin können Angreifer JavaScript mit Schadcode unterbringen und so über das gesamte Produkt verteilen. Darüber ist unter anderem der Mitschnitt von unverschlüsselten Passwörtern möglich, warnen die Sicherheitsforscher.

Auf ihrer Changelog-Website geben die Entwickler an, die Sicherheitsprobleme in der Ausgabe Nagios XI 5.11.2 gelöst zu haben.

(des)