Noch sind die zwei Schwachstellen CVE-2016-9565 und CVE-2016-9566 der Monitoring Software Nagios, die Mitte Dezember offen gelegt wurden, nicht aus der Welt.

Bereits Ende Oktober hatten die Nagios-Entwickler zwar die Lücke CVE-2016-9565 und Anfang Dezember CVE-2016-9566 beseitigt, allerdings nur in der aktuellen Version 4 des Server-Überwachungssystems.

Distributionen wie Debian Jessie und Ubuntu 16.04 LTS nutzen allerdings die Version 3.5 von Nagios. Version 4 von Nagios kann dort bisher nur über die Quelldateien kompiliert und installiert werden, nicht aber über z. B. apt-get. Dadurch kann das Problem nicht mit einem Update behoben werden: Es gibt schlichtweg keins. Laut Debian Security-Tracker war das aktuelle Release "Jessie" daher bei Redaktionsschluss noch immer angreifbar. Allerdings nicht über den RSS-Feed, da diese Funktion bereits enfernt wurde.

Auch ein Aufruf von apt-cache policy nagios3-core auf einem frisch aktualisierten Debian Jessie zeigte folgerichtig, das aus der Haupt-Repository heruntergeladene Paket und keine aktualisierte Version, wie sie etwa im Security-Repository verfügbar war. Auf Ubuntu 16.04 LTS war ein ähnliches Bild zu sehen. Auch hier es gab keine Security-Updates und es war als Quelle nur das Haupt-Repository angegeben.

Im Zuge der regelmäßigen Paket-Updates sollten Admins überprüfen, ob die verwendete Nagios Version tatsächlich eine korrigierte Version des Monitoring-Systems ist oder ob weiterhin eine anfällige Version von Nagios verwendet wird.

(ms, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE