検出

openSUSEセキュリティ更新プログラム:icingaweb2(openSUSE-2020-67)

critical Nessus プラグイン ID 133031

Language:

概要

リモートのopenSUSEホストに、セキュリティ更新プログラムがありません。

説明

このicingaweb2のバージョン2.7.3への更新では、次の問題を修正します:

icingaweb2の2.7.3への更新:

 - オブジェクトがフィルタリングされたロールのサービスグループが利用できない問題を修正しました

icingaweb2の2.7.2への更新:

 - パフォーマンスの向上とバグ修正

icingaweb2の2.7.1への更新:

 - オブジェクトの注記内のリンクを強調表示します

- ソートルールが機能しなくなった問題を修正しました

 - 統計が無秩序に表示される問題を修正しました

 - ワイルドカードで結果が表示されない問題を修正しました

icingaweb2の2.7.0への更新:

 - 新しい言語のサポート

 - モジュール開発者は、新しい方法でIcinga Web 2をカスタマイズできるようになりました

 - UIの強化

icingaweb2の2.6.3への更新:

 - LDAPに伴うさまざまな問題を修正しました

 - タイムゾーンに伴う問題を修正しました

 - UIの強化

- 安定性の修正

icingaweb2の2.6.2への更新:

このリリースに関連する問題や機能はロードマップで見つけることができます。このバグ修正リリースでは、次の項目が解決されます:

 - MySQL 8へのデータベース接続が失敗しなくなりました

 - LDAP接続のタイムアウトがデフォルトで5秒に設定されるようになりました

 - ユーザーグループが外部で認証されたユーザーに対して正しくロードされるようになりました

 - ホストとサービスグループの概要内のすべてのリンクでフィルターが優先されます

 - モジュールから提供されるホストとサービスのアクションが欠如している権限の問題を修正しました

 - ホストグループをフィルタリングする際の連絡先リストビューでのSQLエラーを修正しました

 - タイムゾーン(DST)の検出を修正しました

 - 制限がアクティブな場合の連絡先の詳細表示を修正しました

 - Docパーサーとドキュメントの修正

セキュリティ問題の修正:

 - CVE-2018-18246:moduledisable内のCSRFを修正しました(boo#1119784)

 - CVE-2018-18247:/icingaweb2/navigation/addを介したXSSを修正しました(boo#1119785)

 - CVE-2018-18248:クエリ文字列またはdirパラメーターを介して実行可能なXSS攻撃を修正しました(boo#1119801)

 - CVE-2018-18249:情報を送信するためのチャネルとしての環境変数に関連するPHP ini-fileディレクティブの挿入を修正しました(boo#1119799)

 - CVE-2018-18250:ナビゲーションダッシュレットを破壊する可能性のあるパラメーターを修正しました(boo#1119800)

 - 次のディレクトリ内の新しいUpstream specファイルからsetuidを削除します:

 /etc/icingaweb2、/etc/icingaweb/modules、/etc/icingaweb2/modules/setup、/etc/icingaweb2/modules/translation、/var/log/icingaweb2

icingaweb2の2.6.1への更新:

 - このリリースに関連する問題や機能は[ロードマップ](https://github.com/Icinga/icingaweb2/milestone/51?closed=1)で見つけることができます。

 - コマンド監査で、コマンドのペイロードがJSONとして記録されるようになりました。これにより、バージョン2.6.0で導入された[バグ](https://github.com/Icinga/icingaweb2/issues/3535)が修正されます。

icingaweb2の2.6.0への更新:

 - このリリースに関連する問題や機能はロードマップで見つけることができます。

 - 以前はできなかった作業を行えるようにします

 - PHP 7.2のサポートが追加されました

 - SQLiteリソースのサポートが追加されました

 - 専用モジュールによるログインとコマンド(モニタリング)の監査が追加されました

 - プラグイン出力のレンダリングがモジュールからフック可能になりました。これにより、カスタムアイコン、絵文字、およびCute Kittiesをレンダリングできます:octocat:

 - 何も見逃さないようにします

 - ホストグループとサービスグループの概要で、リストモードとグリッドモードを切り替えられるようになりました

 - servicegridで、軸を反転して横長で表示できるようになりました

 - ホストフィルターに基づいて制限されている場合は、サービスに関連付けられた連絡先のみが表示されるようになりました

 - 無効にされたまたは結合されたメンバーシップフィルターが想定どおりに機能するようになりました(#2934)

 - モニタリングバックエンドがダウンした場合のエラーメッセージが目立つようになりました

 - Enterの押下時にフィルターエディターがクリアされなくなりました

 - 操作性が向上しました

 - タクティカルオーバービューがフィルタリング可能になり、ダッシュボードに安全に配置できるようになりました

 - REST Api経由で新しいお知らせを登録できるようになりました

 - カスタム変数のフィルタリングがUTF8環境で機能するようになりました

 - 曖昧な表現をなくしました

 - モニタリングヘルスの表示が改善され、狭い環境でも正しく動作するようになりました

 - ドイツ語のローカライズを更新しました

 - イタリア語のローカライズを更新しました

 - 信頼性を高めました

 - より前のPHPのサポートを削除しました 5.6

 - 永続的なデータベース接続のサポートを削除しました

ソリューション

影響を受けるicingaweb2パッケージを更新してください。

参考資料

https://bugzilla.opensuse.org/show_bug.cgi?id=1101357

https://bugzilla.opensuse.org/show_bug.cgi?id=1119784

https://bugzilla.opensuse.org/show_bug.cgi?id=1119785

https://bugzilla.opensuse.org/show_bug.cgi?id=1119799

https://bugzilla.opensuse.org/show_bug.cgi?id=1119800

https://bugzilla.opensuse.org/show_bug.cgi?id=1119801

https://github.com/Icinga/icingaweb2/issues/3535

https://github.com/Icinga/icingaweb2/milestone/51?closed=1

プラグインの詳細

深刻度: Critical

ID: 133031

ファイル名: openSUSE-2020-67.nasl

バージョン: 1.4

タイプ: local

エージェント: unix

公開日: 2020/1/17

更新日: 2024/3/29

サポートされているセンサー: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: High

基本値: 7.5

現状値: 5.9

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2018-18249

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 8.8

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:icingacli, p-cpe:/a:novell:opensuse:icingaweb2, p-cpe:/a:novell:opensuse:icingaweb2-common, p-cpe:/a:novell:opensuse:icingaweb2-vendor-htmlpurifier, p-cpe:/a:novell:opensuse:icingaweb2-vendor-jshrink, p-cpe:/a:novell:opensuse:icingaweb2-vendor-parsedown, p-cpe:/a:novell:opensuse:icingaweb2-vendor-dompdf, p-cpe:/a:novell:opensuse:icingaweb2-vendor-lessphp, p-cpe:/a:novell:opensuse:icingaweb2-vendor-zf1, p-cpe:/a:novell:opensuse:php-icinga, cpe:/o:novell:opensuse:15.1

必要な KB アイテム: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2020/1/16

脆弱性公開日: 2018/12/17

参照情報

CVE: CVE-2018-18246, CVE-2018-18247, CVE-2018-18248, CVE-2018-18249, CVE-2018-18250