Einloggen auf heise online

    • News
    • heise Developer
    • heise Netze
    • heise Open Source
    • heise Security
    • c't
    • iX
    • Technology Review
    • c't Fotografie
    • Mac & i
    • Make
    • Telepolis
    • heise Autos
    • TechStage
    • tipps+tricks
    • heise Download
    • Preisvergleich
    • Whitepapers
    • Webcasts
    • Stellenmarkt
    • Karriere Netzwerk
    • Gutscheine
    • IT-Markt
    • Tarifrechner
    • Netzwerk-Tools
    • Spielen bei Heise
    • heise shop
    • heise Select
    • Artikel-Archiv
    • Zeitschriften-Abo
    • Veranstaltungen
    • Arbeiten bei Heise
    • Mediadaten
heise Security
sponsored by Logo HOB
  • News
    • Archiv
    • 7-Tage-News
  • Hintergrund
  • Events
  • Foren
  • Kontakt
  1. Security
  2. 7-Tage-News
  3. 12/2016
  4. Nagios-Schwachstelle: Fixes für Version 3 lassen auf sich warten

Nagios-Schwachstelle: Fixes für Version 3 lassen auf sich warten

21.12.2016 18:06 Uhr Mirko Dölle
vorlesen
Nagios-Schwachstelle: Fixes für Version 3 lassen auf sich warten

Die Schwachstelle im Monitoring-System Nagios, bei der Angreifer Root-Rechte erlangen können, wurde in der aktuellen Version 4 bereits geschlossen. Doch auch das weit verbreitete Nagios 3.5 ist betroffen. Der Fix dafür lässt auf sich warten.

Die Mitte Dezember offengelegten Schwachstellen in der Monitoring-Software Nagios, CVE-2016-9565 und CVE-2016-9566, sind noch nicht aus der Welt: Zwar haben die Nagios-Entwickler die Probleme bereits Ende Oktober (CVE-2016-9565) respektive Anfang Dezember (CVE-2016-9566) beseitigt, allerdings nur in der aktuellen Version 4 des Server-Überwachungssystems.

Manche Distributionen – darunter Debian Jessie und Ubuntu 16.04 LTS – verwenden jedoch noch die Version 3.5 von Nagios, Nagios 4 ist dort nicht verfügbar. Somit führt auch der Rat, möglichst schnell ein Update vorzunehmen, nicht weiter – es gibt kein Update. Daher war bei Redaktionsschluss laut Debian Security-Tracker das aktuelle Stable Release "Jessie" noch immer angreifbar, wenn auch nicht per RSS-Feed, da diese Funktion bereits vor längerer Zeit entfernt wurde.

Anzeige

Keine Security-Updates

Folgerichtig zeigte auch ein Aufruf von apt-cache policy nagios3-core auf einem frisch aktualisierten Debian Jessie, dass Paket aus dem Haupt-Repository heruntergeladen würde und keine aktualisierte Version etwa im Security-Repository verfügbar war. Das gleiche Bild bei Ubuntu 16.04 LTS, auch hier war als Quelle einzig das Haupt-Repository angegeben, es gab keine Security-Updates.

Admins, die Nagios verwenden, sollten überprüfen, ob im Zuge der regelmäßigen Paket-Updates tatsächlich eine korrigierte Version des Monitoring-Systems eingespielt wurde – oder ob bei ihnen weiterhin eine anfällige Version von Nagios läuft. (mid)

Kommentare lesen (15 Beiträge)

Forum zum Thema: Serversicherheit

https://heise.de/-3579628 Drucken
Mehr zum Thema:
Debian Linux und Open Source Server Ubuntu
Anzeige
Dienste
  • Security Consulter
  • Netzwerkcheck
  • Anti-Virus
  • Emailcheck
  • Browsercheck
  • Krypto-Kampagne
Anzeige
Alerts! alle Alert-Meldungen

Drupal (CKEditor)

Cisco-Produkte

Oracle Critical Patch Update

Update
Anzeige
Anzeige
  • Arbeitgeber Bewerbungen: Heise Karriere-Netzwerk
  • Wie Endgeräteschutz die IT-Sicherheit verbessert
  • Geldanlage: von Mensch und Maschine profitieren
  • DSGVO: Was nach dem 25. Mai noch zu tun ist
  • Special: DSGVO Ratgeber
  • Interessante Jobangebote - IT-Jobtag in Leipzig!
  • 5 IT-Trends, die Sie auf dem Schirm haben sollten
Artikel
Übersicht: Diese Webseiten bieten Zwei-Faktor-Authentifizierung

Übersicht: Diese Webseiten bieten Zwei-Faktor-Authentifizierung

Vor allem Online-Shops und soziale Netzwerke sollte neben dem Passwort noch einen zweiten Faktor zum Einloggen fordern. Eine Webseite zeigt übersichtlich an, welche Online-Services dieses Anmeldeverfahren bieten.

Lesetipp
Leben vom Verkauf geklauter Passwörter

Leben vom Verkauf geklauter Passwörter

Das Geschäft mit geleakten Login-Daten boomt: Betrüger machen damit innerhalb von wenigen Monaten mehrere 100.000 US-Dollar.

Lesetipp
Malware-Analyse - Do-It-Yourself

Malware-Analyse - Do-It-Yourself

Bauen Sie Ihre eigene Schadsoftware-Analyse-Sandbox, um schnell das Verhalten von unbekannten Dateien zu überprüfen. Dieser Artikel zeigt, wie das mit der kostenlosen Open-Source-Sandbox Cuckoo funktioniert.

Hintergrund
Neueste Forenbeiträge
  1. Re: Wenigstens leicht zu Identifizieren
    Für die schlecht umgesetzten Miner mag das gelten. Es gibt allerdings genügend Methoden sich zu verstecken.

    Forum:  Statt Erpressungstrojaner: Krypto-Miner auf dem Vormarsch

    FHSnoop hat keinen Avatar
    von FHSnoop; vor 7 Stunden
  2. Re: Google ist ja so toll!
    Googles 8.8.8.8 ist trotzdem noch standardmäßig eingestellt und da wahrscheinlich nur jeder millionste Benutzer jemals die DNS Einstellungen…

    Forum:  Android P verschlüsselt DNS-Anfragen

    Sylos hat keinen Avatar
    von Sylos; vor 21 Stunden
  3. Re: Das will ich wohl glauben!
    Hallo, ich hätte bei einer solchen App die Verwendung eines Obfuscators erwartet, der das einfache Auslesen von URLs (und vertraulichen Infos…

    Forum:  RSA Conference: Unsichere Konferenz-App leakt Teilnehmerliste

    O. v. W. hat keinen Avatar
    von O. v. W.; vor 21 Stunden
nach oben
News und Artikel
  • News
  • 7-Tage-News
  • News-Archiv
  • Hintergrund-Artikel
  • Alert-Meldungen
Service
  • Newsletter
  • Tools
  • Foren
  • RSS
  • mobil
Dienste
  • Security Consulter
  • Netzwerkcheck
  • Anti-Virus
  • Emailcheck
  • Browsercheck
  • Krypto-Kampagne
  • Datenschutzhinweis
  • Impressum
  • Kontakt
  • Mediadaten
  • 2112162
  • Content Management by InterRed
  • Copyright © 2018 Heise Medien