Gestern Abend wurde der CVE-2013-2214 für Nagios veröffentlicht, welcher eine Sicherheitslücke bei der Anzeige von nicht authorisierten Benutzern in den Servicegroupansichten beschreibt. Das betrifft sowohl Nagios 3 und 4 – das zugehörige Ticket ist in deren Bugtracker zu finden.
All jene, die Icinga mit der Classic UI einsetzen, können diesen CVE getrost ignorieren. Die Classic UI Entwickler haben das vor langer Zeit schon so umgeschrieben, dass alle Ansichten zuerst gegen Filter und Authorisierung geprüft werden und erst dann alle gültigen Daten in der GUI angezeigt werden. Ein offizielles Statement dazu gibts im Icinga Blog.
So gesehen ist der Nagios Patch auch nur ein Workaround, und schliesst vermutlich weitere mögliche Bugs und CVEs nicht aus. Paketupdates sind wohl schon in Vorbereitung (RHEL, Debian), ein offizielles Nagios Release gibts augenscheinlich noch nicht.
Tipp an dieser Stelle: Warum man die Icinga Classic UI statt Nagios verwenden sollte, steht beispielsweise hier oder hier. Wir unterstützen auch gerne bei der Migration! 🙂

Michael Friedrich
Michael Friedrich
Senior Developer

Michael ist seit vielen Jahren Icinga-Entwickler und hat sich Ende 2012 in das Abenteuer NETWAYS gewagt. Ein Umzug von Wien nach Nürnberg mit der Vorliebe, österreichische Köstlichkeiten zu importieren - so mancher Kollege verzweifelt an den süchtig machenden Dragee-Keksi und der Linzer Torte. Oder schlicht am österreichischen Dialekt der gerne mit Thomas im Büro intensiviert wird ("Jo eh."). Wenn sich Michael mal nicht in der Community helfend meldet, arbeitet er am nächsten LEGO-Projekt oder geniesst...