概要
リモートのopenSUSEホストに、セキュリティ更新プログラムがありません。
説明
このicingaweb2のバージョン2.7.3への更新では、次の問題を修正します:
icingaweb2の2.7.3への更新:
- オブジェクトがフィルタリングされたロールのサービスグループが利用できない問題を修正しました
icingaweb2の2.7.2への更新:
- パフォーマンスの向上とバグ修正
icingaweb2の2.7.1への更新:
- オブジェクトの注記内のリンクを強調表示します
- ソートルールが機能しなくなった問題を修正しました
- 統計が無秩序に表示される問題を修正しました
- ワイルドカードで結果が表示されない問題を修正しました
icingaweb2の2.7.0への更新:
- 新しい言語のサポート
- モジュール開発者は、新しい方法でIcinga Web 2をカスタマイズできるようになりました
- UIの強化
icingaweb2の2.6.3への更新:
- LDAPに伴うさまざまな問題を修正しました
- タイムゾーンに伴う問題を修正しました
- UIの強化
- 安定性の修正
icingaweb2の2.6.2への更新:
このリリースに関連する問題や機能はロードマップで見つけることができます。このバグ修正リリースでは、次の項目が解決されます:
- MySQL 8へのデータベース接続が失敗しなくなりました
- LDAP接続のタイムアウトがデフォルトで5秒に設定されるようになりました
- ユーザーグループが外部で認証されたユーザーに対して正しくロードされるようになりました
- ホストとサービスグループの概要内のすべてのリンクでフィルターが優先されます
- モジュールから提供されるホストとサービスのアクションが欠如している権限の問題を修正しました
- ホストグループをフィルタリングする際の連絡先リストビューでのSQLエラーを修正しました
- タイムゾーン(DST)の検出を修正しました
- 制限がアクティブな場合の連絡先の詳細表示を修正しました
- Docパーサーとドキュメントの修正
セキュリティ問題の修正:
- CVE-2018-18246:moduledisable内のCSRFを修正しました(boo#1119784)
- CVE-2018-18247:/icingaweb2/navigation/addを介したXSSを修正しました(boo#1119785)
- CVE-2018-18248:クエリ文字列またはdirパラメーターを介して実行可能なXSS攻撃を修正しました(boo#1119801)
- CVE-2018-18249:情報を送信するためのチャネルとしての環境変数に関連するPHP ini-fileディレクティブの挿入を修正しました(boo#1119799)
- CVE-2018-18250:ナビゲーションダッシュレットを破壊する可能性のあるパラメーターを修正しました(boo#1119800)
- 次のディレクトリ内の新しいUpstream specファイルからsetuidを削除します:
/etc/icingaweb2、/etc/icingaweb/modules、/etc/icingaweb2/modules/setup、/etc/icingaweb2/modules/translation、/var/log/icingaweb2
icingaweb2の2.6.1への更新:
- このリリースに関連する問題や機能は[ロードマップ](https://github.com/Icinga/icingaweb2/milestone/51?closed=1)で見つけることができます。
- コマンド監査で、コマンドのペイロードがJSONとして記録されるようになりました。これにより、バージョン2.6.0で導入された[バグ](https://github.com/Icinga/icingaweb2/issues/3535)が修正されます。
icingaweb2の2.6.0への更新:
- このリリースに関連する問題や機能はロードマップで見つけることができます。
- 以前はできなかった作業を行えるようにします
- PHP 7.2のサポートが追加されました
- SQLiteリソースのサポートが追加されました
- 専用モジュールによるログインとコマンド(モニタリング)の監査が追加されました
- プラグイン出力のレンダリングがモジュールからフック可能になりました。これにより、カスタムアイコン、絵文字、およびCute Kittiesをレンダリングできます:octocat:
- 何も見逃さないようにします
- ホストグループとサービスグループの概要で、リストモードとグリッドモードを切り替えられるようになりました
- servicegridで、軸を反転して横長で表示できるようになりました
- ホストフィルターに基づいて制限されている場合は、サービスに関連付けられた連絡先のみが表示されるようになりました
- 無効にされたまたは結合されたメンバーシップフィルターが想定どおりに機能するようになりました(#2934)
- モニタリングバックエンドがダウンした場合のエラーメッセージが目立つようになりました
- Enterの押下時にフィルターエディターがクリアされなくなりました
- 操作性が向上しました
- タクティカルオーバービューがフィルタリング可能になり、ダッシュボードに安全に配置できるようになりました
- REST Api経由で新しいお知らせを登録できるようになりました
- カスタム変数のフィルタリングがUTF8環境で機能するようになりました
- 曖昧な表現をなくしました
- モニタリングヘルスの表示が改善され、狭い環境でも正しく動作するようになりました
- ドイツ語のローカライズを更新しました
- イタリア語のローカライズを更新しました
- 信頼性を高めました
- より前のPHPのサポートを削除しました 5.6
- 永続的なデータベース接続のサポートを削除しました
ソリューション
影響を受けるicingaweb2パッケージを更新してください。
プラグインの詳細
ファイル名: openSUSE-2020-67.nasl
エージェント: unix
サポートされているセンサー: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
リスク情報
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:novell:opensuse:icingacli, p-cpe:/a:novell:opensuse:icingaweb2, p-cpe:/a:novell:opensuse:icingaweb2-common, p-cpe:/a:novell:opensuse:icingaweb2-vendor-htmlpurifier, p-cpe:/a:novell:opensuse:icingaweb2-vendor-jshrink, p-cpe:/a:novell:opensuse:icingaweb2-vendor-parsedown, p-cpe:/a:novell:opensuse:icingaweb2-vendor-dompdf, p-cpe:/a:novell:opensuse:icingaweb2-vendor-lessphp, p-cpe:/a:novell:opensuse:icingaweb2-vendor-zf1, p-cpe:/a:novell:opensuse:php-icinga, cpe:/o:novell:opensuse:15.1
必要な KB アイテム: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトの容易さ: Exploits are available