LSE Leading Security Experts GmbH entdeckt kritische Schwachstelle in Check_MK

Veröffentlicht am von

Bei Check_MK handelt es sich um eine verbreitete Erweiterung für die Software Nagios und Icinga

Pressemeldung der Firma LSE Leading Security Experts GmbH

Check_MK-Schwachstelle – Die LSE Leading Security Experts GmbH (LSE) entdeckte während eines Whitebox-Security-Reviews eine kritische Schwachstelle in Check_MK. Zur Schwachstelle ist ein Security Advisory der LSE unter https://www.lsexperts.de/security-advisory/items/schwachstelle-in-check_mk-agent.html verfügbar. Die Schwachstelle hat die CVE-ID „CVE-2014-0243“. Der Hersteller wurde entsprechend informiert und am 26.05.2014 ist dazu ein offizielles Update bereitgestellt worden, um die Lücke zu schließen.

Die LSE IT-Sicherheits-Experten Markus Vervier und Sascha Kettler fanden heraus, dass es durch lokales Anlegen von Dateisystem-Links auf einem Linux-System möglich ist, durch den Check_MK-Agent beliebige Dateien mit den Berechtigungen des Nutzers „root“ über das Netzwerk auszulesen. So könnte ein unprivilegierter Nutzer beispielsweise die Datei „/etc/shadow“ oder auch private SSH-Schlüssel lesen.

Bei Check_MK handelt es sich um eine verbreitete Erweiterung für Nagios und Icinga. Hiermit werden entsprechende Netzwerkmonitoring-Lösungen betrieben. Insofern hat die aufgefundene Schwachstelle innerhalb eines betroffenen Netzwerks mitunter eine große Reichweite und ein sehr hohes technisches Bedrohungspotential. Deshalb rät die LSE Leading Security Experts GmbH zu sofortigen Gegenmaßnahmen, durch das Einspielen des genannten Updates oder – im Sinne einer Sofortmaßnahme – das Ändern der Schreibberechtigungen für das betroffene Verzeichnis auf „755“, wie im Security Advisory ausgeführt.



Firmenkontakt und Herausgeber der Meldung:
LSE Leading Security Experts GmbH
Postfach 10 01 21
64201 Darmstadt
Telefon: +49 (6151) 86086-0
Telefax: +49 (6151) 86086-299
http://www.lsexperts.de

Ansprechpartner:
Sven Walther
+49 (6151) 86086-0



Dateianlagen:
    • LSE GbmH
Die LSE Leading Security Experts GmbH mit Sitz in Weiterstadt, Deutschland ist spezialisiert auf Informations- und IT-Sicherheit für Unternehmen. Über die Jahre entwickelte sich die LSE zu einem anerkannten Dienstleister für Penetrationstests, Schwachstellenanalysen sowie Audits und zählt Großkunden, Finanzinstitute, Behörden sowie mittelständische Unternehmen seit Jahren zu ihren zufriedenen Kunden. Mit den Produkten LSE LinOTP und LSE Radius GINA/CP avancierte die LSE zudem zu einem führenden Hersteller für herstellerunabhängige und technologieübergreifende Lösungen für Anmeldesicherheit und Benutzerauthentisierung. Die LSE unterstützt ihre Kunden ferner mit Beratungsleistungen in den Bereichen Schwachstellenanalysen & Penetrationstests, IT-Risikomanagement, Anmeldesicherheit, Identity Management, Verschlüsselungstechnologien, Storage- und Virtualisierungssicherheit. Die LSE gehört zur MAX21-Unternehmensgruppe. Weitere Informationen unter http://www.lsexperts.de


Weiterführende Links

Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die Huber Verlag für Neue Medien GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die Huber Verlag für Neue Medien GmbH gestattet.