Nagios bessert ein weiteres Mal nach [Update]
Die kürzlich gemeldete Lücke in den CGI-Skripten der Netzwerk-Monitor-Software bei der Verarbeitung von HTTP-Headern wurde beim ersten Patch offenbar nicht richtig geschlossen.
- Christiane Rütten
Die Netzwerk-Monitor-Software Nagios liegt nun in den Versionen 1.4.1 und 2.3.1 vor. Das Changelog weist als einzige Änderung die Behebung eines Integer Overflows in den CGI-Skripten bei der Verarbeitung des Feldes content_length in HTTP-Headern aus. Erst kürzlich erschien ein Bugfix-Release von Nagios, der einen potenziellen Buffer Overflow aufgrund negativer Werte in demselben Header-Feld beheben sollte. Doch der erste Patch schloss die Lücke offenbar nicht vollständig oder führte einen neuen Fehler ein.
Nach Einschätzung des Sicherheitsdienstleisters Secunia lässt sich auch der neu entdeckte Integer Overflow zum Einschleusen von beliebigem Schadcode nutzen. In diesem Fall könnte ein Angreifer unter Umständen mit manipulierten HTTP-Anfragen die vollständige Kontrolle über betroffene Systeme erlangen. Ob die Einschränkung für die vorherige Lücke, dass sie sich nur auf bestimmten Server-Plattformen ausnutzen ließe, auch für die neue Schwachstelle gilt, ist bislang nicht bekannt. Ein Statement der Entwickler steht bislang noch aus. Vorsichtshalber sollten alle Nagios-Anwender eine der beiden neuen Versionen installieren.
Update:
Nach Auskunft des Nagios-Entwicklers Ethan Galstad konnte der erste Bugfix nur einen Teil des ursprünglichen Problems beheben, wodurch er sich zur Nachbesserung veranlasst sah. Er vermutet, dass sich auch die neu Entdeckte Schwachstelle zum Einschleusen von beliebigem Schad-Code nutzen lässt, jedoch sind ihm bislang keine derartigen Vorfälle bekannt.
Siehe dazu auch: (cr)
- Nagios Content-Length Integer Overflow Vulnerability, Advisory von Secunia
- Kritische Lücken in Nagios behoben, Bericht von heise Security
