[TLP:CLEAR] Icinga 2 opravuje kritickou zranitelnost
Icinga verzemi v2.14.3, v2.13.10, v2.12.11 a v2.11.12 opravuje kritickou zranitelnost v produktu Icinga 2. Není-li možná aktualizace na opravenou verzi, lze pro zmírnění potenciálního dopadu pomocí firewallu omezit přístup k Icinga 2 API portu [1]. Z operačních systémů vydal ve verzi 2.14.3 opravu Gentoo pro nejčastěji používané architektury [2]. Debian má k dispozici opravu pouze pro vydání sid ve verzi 2.14.3-1 [3].
Neautentizovanému vzdálenému útočníkovi je skrze nedostatečnou kontrolu certifikátu TLS umožněno neoprávněně spouštět příkazy a měnit konfiguraci, je-li atribut "accept_commands", respektive "accept_config" objektu ApiListener nastaven na "true". Nejsou-li atributy nastaveny tímto způsobem, útočníkovi je stále umožněno získat potenciálně citlivé informace [4].
Zranitelnost se nachází v produktu Icinga 2 ve verzích (>=v2.4.0 AND <v2.11.12) OR (>=v2.12.0 AND <v2.12.11) OR (>=v2.13.0 AND <v2.13.10) OR (>=v2.14.0 AND <v2.14.3).
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2024-49369 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-295: Improper Certificate Validation at cwe.mitre.org
Zranitelnost byla veřejně oznámena 12. 11. 2024.
Odkazy
Publikovala Michaela Ručková dne 13. 11. 2024.
