PT-2021-21818 · Icinga+1 · Icinga+1
N-O-X
·
Publicado
2021-08-19
·
Atualizado
2024-11-16
·
CVE-2021-37698
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Icinga 2.5.0 a 2.13.0
Descrição
O Icinga é um sistema de monitoramento que verifica a disponibilidade de recursos de rede, notifica os usuários sobre interrupções e gera dados de desempenho para relatórios. O problema ocorre nos componentes ElasticsearchWriter, GelfWriter, InfluxdbWriter e Influxdb2Writer, que não verificam o certificado do servidor, apesar de uma autoridade certificadora ter sido especificada. Isso afeta instâncias do Icinga 2 que se conectam a bancos de dados de séries temporais (TSDBs) usando TLS em uma infraestrutura passível de falsificação.
Recomendações
Para as versões 2.5.0 a 2.13.0 do Icinga, atualize para a versão 2.13.1, 2.12.6 ou 2.11.11 para corrigir o problema.
Altere as credenciais (se houver) usadas pelo recurso de gravação TSDB para autenticação no TSDB.
Observe que não há soluções alternativas além da atualização.
Correção
Improper Certificate Validation
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Icinga
Suse