In über sieben CVE-Nummern zugeteilten Sicherheitslücken ist die Open-Source-Software zum Überwachen von Diensten und Servern attackierbar. Im schlimmsten Fall kann das in der Ausführung von Schadcode aus der Ferne ohne Anmeldung am System enden.

Bedroht ist die Version 5.5.6. Admins sollten zügig die abgesicherte Ausgabe Nagios XI 5.5.7 installieren.

Die Sicherheitsforscher von Tenable listen in einer Sicherheitswarnung ausführliche Informationen zu den Schwachstellen auf. Sie stufen das Risiko als "hoch" ein. Das Notfallteam des Bundesamt für Sicherheit in der Informationstechnik (BSI) CERT Bund geht noch einen Schritt weiter und vergibt in seinem Sicherheitscenter die Höchstwertung mit "sehr hoch".

Damit Angreifer eigene Befehle ausführen können, sollen in einigen Fällen lediglich präparierte HTTP-Anfragen ausreichen. Zudem könnten sich lokal angemeldete Angreifer Root-Rechte aneignen. XSS-Attacken sind auch vorstellbar.

(hv, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE