検出

openSUSEセキュリティ更新プログラム:icinga2(openSUSE-2020-1820)

high Nessus プラグイン ID 142522

Language:

概要

リモートのopenSUSEホストに、セキュリティ更新プログラムがありません。

説明

このicinga2の更新では、次の問題が修正されます:

 - バージョン2.12.0以降、次のセキュリティ問題が修正されたという情報:prepare-dirsスクリプトにより、icingaユーザーコンテキストでシンボリックリンク攻撃が可能です。boo#1172171(CVE-2020-14004)

2.12.1への更新:

 - バグ修正

 +コア

 - 構成更新中のクラッシュを修正します #8348 #8345

 - ダウンタイムを削除する際のクラッシュを修正します #8228

 - logrotateによってデーモンがkillされないようにします #8170

 - シャットダウン中のハングアップを修正します #8211

 - Icinga DBのデッドロックを修正します(#8168)。

 - リロード中にゾンビプロセスをクリーンアップします #8376

 - チェックレイテンシーを低減します #8276

 + IDO

 - 不要なIDO更新を防止します #8327 #8320

 - IDO MySQLトランザクションを早期にコミットします #8349

 - IDOプログラムステータスを必ず挿入します #8330

 - IDOキュー統計のロギングを改善します #8271 #8328 #8379

 + その他:

 - API接続が適切に閉じられるようにします #8293

 - 不要な通知を防ぎます #8299

 - コマンド引数のnull値をスキップしません #8174

 - Windows .exeバージョンを修正します #8234

 - 構成の更新が成功した後、Icingaチェック警告をリセットします #8189

2.12.0への更新:

 - 重大な変更

 - 次を優先してWindowsプラグインを廃止します:

 - PowerShellプラグイン #8071

 - Livestatusを廃止します #8051

 - すでに承認済みのチェック可能アイテムの承認を拒否します #7695

 - 構成レクサー:heredocsのEOFでエラーを出します。例:
 (((abc<EOF> #7541

 - 機能強化

 +コア

 - 新しいデータベースバックエンド:Icinga DBを実装します #7571

 - 以前にその期間により抑制された通知を再送信します #7816

 + API

 - ホスト/サービス:Acknowledgement_last_change属性とnext_update属性を追加します #7881 #7534

 - POSTクエリのエラーメッセージを改善します #7681

 - /v1/actions/remove-comment:ユーザーが自分で指定できるようにします #7646

 - /v1/actions/remove-downtime:ユーザーが自分で指定できるようにします #7645

 - /v1/config/stages:「activate」パラメーターを追加します #7535

 + CLI

 - TLS証明書のトラブルシューティングを改善するためにpki verifyコマンドを追加します #7843

 - --version #7833の「Build」セクションにOpenSSLバージョンを追加します

 -「エージェント/サテライトのノードセットアップ」でエクスペリエンスを向上させます #7835

 + DSL

 - get_template()およびget_templates()を追加します #7632

 - MacroProcessor: : ResolveArguments():null引数値をスキップします #7567

 - ignore_on_errorと存在しない親を持つ依存関係適用ルールによるクラッシュを修正します #7538

 - 3項演算子(x ? y : z)を導入します #7442

 - LegacyTimePeriod:秒の指定をサポートします #7439

 - ラムダクロージャーのサポートを追加します(() use(x) => x and () use(x) => ( return x )) #7417

 + ITL

 - notempパラメーターをOracleヘルスに追加します #7748

 - snmp-interfaceコマンドテンプレートに拡張チェックオプションを追加します #7602

 - Windowsコマンド定義のファイル経過時間チェックを追加します #7540

 + ドキュメント

 - 開発:デバッグ指示を更新します #7867

 - 新しいAPIクライアントを追加します #7859

 - CRITICALとUNKNOWNを明確にします #7665

 - フレッシュネスチェックを無効にする方法を明確に説明します #7664

 - RHEL/CentOS 8およびSLES 15のインストールを更新します #7640

 - 証明書を検証するためにPowershellの例を追加します #7603

 + その他:

 - event: : Heartbeatを認証されていないピアに送信しません #7747

 - OpenTsdbWriter:カスタムタグのサポートを追加します #7357

 - バグ修正

 +コア

 - JSON-RPCクラッシュを修正します #7532 #7737

 - ゾーンのゾーン定義を修正します #7546

 - OpenBSDの起動中のデッドロックを修正します #7739

 - PENDINGは問題ではないと考えます #7685

 - リロード後のゾンビプロセスを修正します #7606

 - リロード中にチェックが終了するのを待ちません #7894

 + クラスター

 - まだ署名されていないクライアントによるハートビートタイムアウト中のセグメンテーション違反を修正します #7970

 - 構成の更新プロセスを相互に排他的にします(ファイルシステムの競合状態を防止します)#7936

 - check_timeoutがエージェントコマンドエンドポイントに転送されない問題を修正します #7861

 - Config sync:構成が等しく、リロードが不要な場合、より分かりやすいメッセージを使用します #7811

 - エージェントがCAの承認を待つときに開いている接続を修正します #7686

 - メッセージ全体だけでなく、TLSペイロードの1バイトでJsonRpcConnectionが有効であることを考慮します #7836

 - JsonRpcConnectionハートビートを10秒ではなく20秒ごとに送信します #8102

 - JsonRpcConnectionハートビートを使用して、接続の活性を更新します(m_Seen) #8142

 - TLSコンテキストがエージェントの署名付き証明書メッセージで更新されない問題を修正します #7654

 + API

 - 10秒後にTLSハンドシェイクが成功しない場合、接続を閉じます #7809

 - 権限の例外をすぐに処理し、404を返します #7528

 + SELinux

 - safe-reloadを修正します #7858

 - ダイレクトSMTP通知を許可します #7749

 + Windows

 - タイムアウト時にUNKNOWN状態のチェックプロセスを終了します #7788

 - ログ再生ファイルの名前が適切に変更されるようにします #7767

 + メトリクス

 - Graphite/OpenTSDB:再接続の失敗が検出されるようにします #7765

 - しきい値の値として常に0を送信します #7696

 + スクリプト

 - Dashとの互換性を保つために通知スクリプトを修正します #7706

 - mail-host-notification.shのbash行の継続を修正します #7701

 - 通知スクリプトの文字列比較を修正します #7647

 - サービスおよびホストのメール通知:非常に長い出力に改行を追加します #6822

 - 適切なUTF-8電子メール件名ヘッダーを設定します(RFC1342)#6369

 + その他:

 - DSL:Array#(sort,map,reduce,filter,any,all)()にカスタム関数としてnullを渡すことによるセグメンテーション違反を修正します #8053

 - CLI:pki save-cert:後方互換性のために--keyおよび--certを指定できるようにします #7995

 - エージェント/サテライトのノードのセットアップ中に信頼できる証明書を読み取れない場合に例外をキャッチします #7838

 - CheckCommand ssl:間違ったパラメーター-Nを修正します #7741

 - コード品質の修正

 - ドキュメントでの小規模な修正

 - 2.11.5への更新。バージョン2.11.5では、大規模なHA環境で発生する構成更新プロセスにおけるファイルシステムの競合状態を修正し、クラスター接続の活性メカニズムを改善します。

 - バグ修正

 + 構成の更新プロセスを相互に排他的にします(ファイルシステムの競合状態を防止します)#8093

 + メッセージ全体だけでなく、TLSペイロードの1バイトでJsonRpcConnectionが有効であることを考慮します #8094

 + JsonRpcConnectionハートビートを10秒ではなく20秒ごとに送信します #8103

 + JsonRpcConnectionハートビートを使用して、接続の活性を更新します(m_Seen) #8097

 - 2.11.4への更新。バージョン2.11.4では、まだ署名されていないクライアントによるハートビートタイムアウト中のクラッシュを修正します。また、リロード/展開後にエンドポイントが再接続しない問題を解決します。この問題は、多くのUNKNOWN状態を引き起こしていました。

 - バグ修正

 + クラスター

 - まだ署名されていないクライアントによるハートビートタイムアウト中のセグメンテーション違反を修正します #7997

 - リロード後に再接続しないエンドポイントを修正します(リロード後のUNKNOWNホスト/サービス)#8043

 + セットアップ

 - ノードのセットアップ中に読み取れない信頼できる証明書の例外を修正します #8044

 - prepare-dirs:ディレクトリの作成時にのみ権限を設定します #8046

 + DSL

 - 配列関数(sort、map、reduce、filter、any、all)に欠落している比較関数のセグメンテーション違反を修正します #8054

 - 2.11.3への更新

 - バグ修正

 - クラスター。大規模な環境でのJSON-RPCクラッシュ(#7532)を修正します: #7846 #7848 #7849

 - 最小必要ブーストバージョンを1.66に設定 します

 - icinga cliウィザードを使用する際のboo#1159869権限エラーを修正します。

- systemd-develの代わりにBuildRequire pkgconfig(libsystemd):OBSが-miniフレーバーを介してショートカットできるようにします。

 - 2.11.2への更新。このリリースでは、新しく導入された構成同期「check-change-then-reload」機能がエージェントで無限リロードループを引き起こす可能性がある問題を修正しました。最も目立つのは、「接続されていない」UNKNOWN状態でコマンドエンドポイントチェックに失敗していることです。2マスターおよび/または2サテライトのあるHA有効ゾーンにのみ適用されます。

 - バグ修正

 - クラスター構成同期

 - 構成同期チェックサムの変更の検出は、高負荷HAクラスター内では機能しない可能性があります#7565

 - 2.11.1への更新。このリリースでは、2.11および分散セットアップで明らかになった隠れた長期的なバグが修正されます。
 エージェント/サテライトが構成を受け入れない、またはリロードしないことによる影響を受ける場合は、アップグレードしてください。

 - バグ修正

 - クラスター構成同期

 - 他のインスタンスからの権限のある構成マーカーを決して受け入れません #7552

 - これは、エージェント/サテライトが構成マスターよりも新しいセットアップに影響します(例:サテライト/エージェント=2.11.0、マスター=2.10) 。

 - 構成

 - command_endpointのエラーメッセージで、ゾーンが設定されていないことが示唆されます #7514

 - グローバル変数「ActiveStageOverride」は「ActiveStageOverride ...」を介して暗黙的に設定されました #7521

 - ドキュメント

 - Docs:リポジトリ、構成同期、エージェントのアップグレード/トラブルシューティングの詳細を追加します #7526

 - 2.11のリポジトリ要件を説明します:
 https://icinga.com/docs/icinga2/latest/doc/16-upgrading-icinga-2/#added-boost-166

 - command_endpointオブジェクトには、次のゾーンが必要です:
 https://icinga.com/docs/icinga2/latest/doc/16-upgrading-icinga-2/#agent-hosts-with-command-endpoint-require-a-zone

 - zones.dで宣言されたゾーンがロードされなくなります:
 https://icinga.com/docs/icinga2/latest/doc/16-upgrading-icinga-2/#config-sync-zones-in-zones

 - 2.11.0への更新

 - コア

 - Boost Asio、Beast、Coroutinesに基づいてネットワークスタック(クラスター、REST API)を書き換えます

 - 技術コンセプト: #7041

 - パッケージの更新が必要です:Boost 1.66以上(packages.icinga.com、EPELまたはバックポートから)。SLES11とUbuntu 14はEOLです。

 - TLS 1.2を要求し、デフォルトの暗号リストを強化します

 - リロード処理を改善しました(umbrellaプロセス、現在はランタイムで3プロセス)

 -(Docker)コンテナでIcinga 2をフォアグラウンドでネイティブに実行することをサポートします

 - 品質:YAJL(デッドプロジェクト)の代わりにC++ライブラリ用のModern JSONを使用します

 - 品質:無効なUTF8文字列の処理を改善します

 - API

 - NessusスキャンからのLinux、UnixおよびWindowsでのクラッシュを修正します #7431

 - ロックおよびストールした待機は、#7071のコアの書き換えで修正されます。

- schedule-downtimeアクションが、ホストのダウンタイムに対してall_servicesをサポートします

 - _apiパッケージのランタイム作成オブジェクトのストレージ処理を改善します

 - クラスター

 - フェイルオーバー処理のHA認識機能と改善 #2941 #7062

 - ステージングによりクラスター構成の同期を改善します #6716

 - 同じダウンタイム/コメントオブジェクトがクラスターループで再び同期される問題を修正しました #7198

 - チェックと通知

 - 再起動中に通知が送信されるようにします

 - ダウンタイム終了後、問題について直ちに通知してもNOT-OKです

 - リロード処理を改善し、機能/メトリクスを待機します

 - 通知コマンドの結果を保存し、HA有効ゾーンで同期します #6722

 - DSL/構成

 - getenv()関数を追加します

 - 深夜のTimePeriod範囲のサポートを修正します

 - チェッカー機能のconcurrent_checksは効果がないため、代わりにグローバルMaxConcurrentChecks定数を使用します

 - CLI

 - 権限:ノードウィザード/セットアップ、機能、apiセットアップが、rootではなくIcingaユーザーコンテキストで実行されるようになりました

 - デフォルトでは、caリストに保留中のCSRが表示されます。ca remove/restoreにより、署名リクエストの削除が可能になります

 - ITL

 - 新しいコマンドと欠落している属性を追加します

 - Windows

 - バンドルされているNSClient++を0.5.2.39に更新します

 - エージェントセットアップウィザードを改善し、要件を.NET 4.6に更新します

 - ドキュメント

 - サービス監視:例、チェックコマンドおよびサポートされているプラグインAPIの最新バージョンとベストプラクティスによってプラグインを作成する方法

 - 特徴:メトリクスの構造およびサポートされている機能の改善

 - 技術コンセプト:TLSネットワークIO、クラスター機能HA、クラスター構成同期

 - 開発:スタイルガイドを含む寄稿者のデバッグと開発のエクスペリエンスを向上させるために書き直されました。ナイトリービルドのセットアップ手順を追加します。

 - パッケージ:INSTALL.mdは開発の章に統合されました。https://icinga.com/docsから入手することもできます。

 - 2.10.6への更新

 - バグ修正

 - el7がECDHE暗号パッケージをロードしない問題を修正します #7247

 - 2.10.5への更新

 - コア

 - logrotateシグナルによるクラッシュを修正します #6737(Elias Ohm氏に感謝します)

 - API

 - 最近の名前空間の導入によるクラッシュと権限フィルターに関する問題を修正します #6785(Elias Ohm氏に感謝します)#6874(2.11からバックポート)

 - ロックされた接続によるログスパムを削減します(実際の修正は、2.11でのネットワークスタックの書き換えです)#6877

 - クラスター

 - 再生ログのローテーションと保存に関する問題を修正します #6932(Peter Eckel氏に感謝します)

 - IDO DB

 - リロードシャットダウンがホストとホストグループを非アクティブ化する問題を修正します(2.9で導入)#7157

 - ドキュメント

 - REST APIの章を改善します:Unixタイムスタンプ処理、フィルター、POSTリクエストを本文のフィルターと統一

 - 機能の章、特にメトリクスとイベントのレイアウトを改善します

 - オブジェクトタイプをモニタリング、ランタイム、機能に分割します

 - クラスターメッセージの技術的コンセプトを追加します

ソリューション

影響を受けるicinga2パッケージを更新してください。

参考資料

https://bugzilla.opensuse.org/show_bug.cgi?id=1159869

https://bugzilla.opensuse.org/show_bug.cgi?id=1172171

https://bugzilla.opensuse.org/show_bug.cgi?id=1174075

https://icinga.com/docs

http://www.nessus.org/u?523cf707

http://www.nessus.org/u?a1dc9ab8

http://www.nessus.org/u?a7574676

プラグインの詳細

深刻度: High

ID: 142522

ファイル名: openSUSE-2020-1820.nasl

バージョン: 1.4

タイプ: local

エージェント: unix

公開日: 2020/11/6

更新日: 2024/2/9

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: Medium

基本値: 4.6

現状値: 3.6

ベクトル: CVSS2#AV:L/AC:L/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2020-14004

CVSS v3

リスクファクター: High

基本値: 7.8

現状値: 7

ベクトル: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:icinga2-bin, p-cpe:/a:novell:opensuse:icinga2-ido-mysql, p-cpe:/a:novell:opensuse:icinga2-ido-mysql-debuginfo, p-cpe:/a:novell:opensuse:icinga2-ido-pgsql, p-cpe:/a:novell:opensuse:icinga2-bin-debuginfo, p-cpe:/a:novell:opensuse:icinga2-ido-pgsql-debuginfo, p-cpe:/a:novell:opensuse:icinga2-debugsource, p-cpe:/a:novell:opensuse:nano-icinga2, cpe:/o:novell:opensuse:15.2, p-cpe:/a:novell:opensuse:icinga2-debuginfo, p-cpe:/a:novell:opensuse:icinga2, p-cpe:/a:novell:opensuse:icinga2-common, p-cpe:/a:novell:opensuse:vim-icinga2, cpe:/o:novell:opensuse:15.1

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2020/11/2

脆弱性公開日: 2020/6/12

参照情報

CVE: CVE-2020-14004