Nagios-Schwachstelle: Fixes für Version 3 lassen auf sich warten

January 14, 2017 - 3:25 pm in OSS

[ad_1]

Die Schwachstelle im Monitoring-System Nagios, bei der Angreifer Root-Rechte erlangen können, wurde in der aktuellen Version 4 bereits geschlossen. Doch auch das weit verbreitete Nagios 3.5 ist betroffen. Der Fix dafür lässt auf sich warten.

Die Mitte Dezember offengelegten Schwachstellen in der Monitoring-Software Nagios, CVE-2016-9565 und CVE-2016-9566, sind noch nicht aus der Welt: Zwar haben die Nagios-Entwickler die Probleme bereits Ende Oktober (CVE-2016-9565) respektive Anfang Dezember (CVE-2016-9566) beseitigt, allerdings nur in der aktuellen Version 4 des Server-Überwachungssystems.

Manche Distributionen – darunter Debian Jessie und Ubuntu 16.04 LTS – verwenden jedoch noch die Version 3.5 von Nagios, Nagios 4 ist dort nicht verfügbar. Somit führt auch der Rat, möglichst schnell ein Update vorzunehmen, nicht weiter – es gibt kein Update. Daher war bei Redaktionsschluss laut Debian Security-Tracker das aktuelle Stable Release “Jessie” noch immer angreifbar, wenn auch nicht per RSS-Feed, da diese Funktion bereits vor längerer Zeit entfernt wurde.

Keine Security-Updates

Folgerichtig zeigte auch ein Aufruf von apt-cache policy nagios3-core auf einem frisch aktualisierten Debian Jessie, dass Paket aus dem Haupt-Repository heruntergeladen würde und keine aktualisierte Version etwa im Security-Repository verfügbar war. Das gleiche Bild bei Ubuntu 16.04 LTS, auch hier war als Quelle einzig das Haupt-Repository angegeben, es gab keine Security-Updates.

Admins, die Nagios verwenden, sollten überprüfen, ob im Zuge der regelmäßigen Paket-Updates tatsächlich eine korrigierte Version des Monitoring-Systems eingespielt wurde – oder ob bei ihnen weiterhin eine anfällige Version von Nagios läuft. (mid)

[ad_2]

Read more on: Source

Developer Snapshots: Programmierer-News in ein, zwei Sätzen

January 14, 2017 - 2:50 pm in Software-Entwicklung

[ad_1] heise Developer fasst jede Woche bisher vernachlässigte, aber doch wichtige Nachrichten zu Tools, Spezifikationen oder anderem zusammen – dieses…

WhatsApp: Bug erlaubt Einblick in verschlüsselte Nachrichten

January 14, 2017 - 2:45 pm in Security

[ad_1] Seit einem Jahr werden Nachrichten auf WhatsApp Ende-zu-Ende verschlüsselt, wodurch nicht einmal der Betreiber sie lesen kann. Durch eine Besonderheit…

China steckt 1,6 Milliarden Euro in Breitband- und Mobilfunkausbau

January 13, 2017 - 9:34 pm in Internet

[ad_1] Der chinesische Staat will unter anderem in den kommenden Jahren 90.000 km Glasfaserkabel verlegen lassen. Die chinesische Regierung will in den kommenden Jahren 1,2 Billionen Yuan, umgerechnet 1,6 Milliarden Euro in den Ausbau der IT-Infrastruktur…

Linux-Videoeditor: Openshot 2.20 unterstützt 4K

January 13, 2017 - 9:20 pm in OSS

[ad_1] In der aktuellen Version 2.20 der Videobearbeitungssoftware Openshot lassen sich 4K-Videos bearbeiten. Zudem wurde die Caching-Engine verbessert. Der Video-Editor Openshot hat in der aktuellen Version 2.20 zahlreiche Neuerungen und Verbesserungen erhalten,…

Yahoo veröffentlicht eine Continuous-Delivery-Plattform

January 13, 2017 - 8:47 pm in Software-Entwicklung

[ad_1] Das Werkzeug namens Screwdriver entstand ursprünglich zum internen Einsatz bei Yahoo als Aufsatz für Jenkins. Nun veröffentlicht das Entwicklerteam das Continuous-Delivery-Build-System als Open-Source-Software. Während auf der Managementebene noch…

Linux-Tüftler wollen Intels Management Engine abschalten

January 13, 2017 - 8:42 pm in Security

[ad_1] In Rechnern mit Intel-Prozessoren steckt die sogenannte Management Engine (ME) mit undokumentierten Funktionen; um deren verschlüsselte Firmware zu entfernen, gibt es jetzt Tools für mutige Bastler. Der italienische Programmierer Nicola Corna hat…

Kommunikationssystem für Schweizer Armee: Viel Geld in Funkloch versenkt

January 13, 2017 - 3:30 am in Internet

[ad_1] Viel Geld gab die Schweizer Armee für eine modernes Kommunikationssystem aus. Nur leider stellte sich heraus, dass es für eine eher normale, mobile Kriegsführung nicht geeignet ist. Offizieller Grund: Das System könne nicht mit der Datenflut umgehen.…

Remacs: eine Emacs-Implementierung mit Rust

January 13, 2017 - 3:15 am in OSS

[ad_1] Die Zahl in Rust geschriebener Projekte nimmt zu. Das jüngste Kind ist mit Remacs eine Neuimplementierung des Emacs, in dem der in C geschriebene Lisp-Interpreter in der jungen Programmiersprache geschrieben ist. Die Programmiersprache Rust wird zunehmend…

Intel AI Day am 1. Februar in München

January 13, 2017 - 2:45 am in Software-Entwicklung

[ad_1] Im Rahmen der OOP richtet Intel ein gesondertes kostenloses Programm zu künstlicher Intelligenz und Machine beziehungsweise Deep Learning aus. Wer einen Überblick darüber gewinnen will, wie Intel die Themen künstliche Intelligenz und selbstlernende…