Die Schwachstelle im Monitoring-System Nagios, bei der Angreifer Root-Rechte erlangen können, wurde in der aktuellen Version 4 bereits geschlossen. Doch auch das weit verbreitete Nagios 3.5 ist betroffen. Der Fix dafür lässt auf sich warten.
Die Mitte Dezember offengelegten Schwachstellen in der Monitoring-Software Nagios, CVE-2016-9565 und CVE-2016-9566, sind noch nicht aus der Welt: Zwar haben die Nagios-Entwickler die Probleme bereits Ende Oktober (CVE-2016-9565) respektive Anfang Dezember (CVE-2016-9566) beseitigt, allerdings nur in der aktuellen Version 4 des Server-Überwachungssystems.
Manche Distributionen – darunter Debian Jessie und Ubuntu 16.04 LTS – verwenden jedoch noch die Version 3.5 von Nagios, Nagios 4 ist dort nicht verfügbar. Somit führt auch der Rat, möglichst schnell ein Update vorzunehmen, nicht weiter – es gibt kein Update. Daher war bei Redaktionsschluss laut Debian Security-Tracker das aktuelle Stable Release "Jessie" noch immer angreifbar, wenn auch nicht per RSS-Feed, da diese Funktion bereits vor längerer Zeit entfernt wurde.
Keine Security-Updates
Folgerichtig zeigte auch ein Aufruf von apt-cache policy nagios3-core auf einem frisch aktualisierten Debian Jessie, dass Paket aus dem Haupt-Repository heruntergeladen würde und keine aktualisierte Version etwa im Security-Repository verfügbar war. Das gleiche Bild bei Ubuntu 16.04 LTS, auch hier war als Quelle einzig das Haupt-Repository angegeben, es gab keine Security-Updates.
Admins, die Nagios verwenden, sollten überprüfen, ob im Zuge der regelmäßigen Paket-Updates tatsächlich eine korrigierte Version des Monitoring-Systems eingespielt wurde – oder ob bei ihnen weiterhin eine anfällige Version von Nagios läuft.
(mid)