CVE-2021-32743

Versões do Icinga anteriores à 2.11.10

Versões do Icinga 2.12.0 a 2.12.4

O problema diz respeito à exposição de credenciais para serviços externos por meio da API a usuários autenticados da API com permissões de leitura para os tipos de objeto correspondentes. Especificamente, IdoMysqlConnection e IdoPgsqlConnection expõem a senha do usuário usada para se conectar ao banco de dados, IcingaDB expõe a senha usada para se conectar ao servidor Redis e ElasticsearchWriter expõe a senha usada para se conectar ao servidor Elasticsearch. Um invasor que obtenha essas credenciais pode se passar pelo Icinga nesses serviços e adicionar, modificar e excluir informações neles. Se credenciais com mais permissões estiverem em uso, isso aumenta o impacto proporcionalmente.

Para versões do Icinga anteriores à 2.11.10, atualize para a versão 2.11.10 ou posterior para resolver o problema.

Para as versões do Icinga 2.12.0 a 2.12.4, atualize para a versão 2.12.5 ou posterior para resolver o problema.

Como solução alternativa temporária, restrinja as permissões do usuário da API para não permitir a consulta de nenhum objeto afetado, seja listando explicitamente apenas os tipos de objeto necessários para as permissões de consulta de objetos, seja aplicando uma regra de filtro.