LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2021 / Informations sur la sécurité -- DLA-2816-1 icinga2

Bulletin d'alerte Debian

DLA-2816-1 icinga2 -- Mise à jour de sécurité pour LTS

Date du rapport :

10 novembre 2021

Paquets concernés :

icinga2

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 991494.
Dans le dictionnaire CVE du Mitre : CVE-2021-32739, CVE-2021-32743, CVE-2021-37698.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Icinga 2, une application généraliste de surveillance. Un attaquant pourrait récupérer des informations sensibles comme des mots de passe de service et des salages de ticket en interrogeant l'API web, ou en interceptant des connexions chiffrées insuffisamment contrôlées.

• CVE-2021-32739

  Il existe une vulnérabilité qui pourrait permettre une élévation de privilèges des utilisateurs authentifiés de l'API. Avec une accréditation en lecture seule d'utilisateurs, un attaquant peut voir la plupart des attributs des objets de configuration y compris « ticket_salt » d'ApiListener. Ce salage est suffisant pour calculer un ticket pour chaque Nom Commun (CN) possible. Un ticket, le certificat maître du nœud et un certificat auto-signé sont suffisants pour demander avec succès le certificat désiré à Icinga. Ce certificat peut à son tour être utilisé pour dérober l'identité d'un point de terminaison ou d'un utilisateur de l'API. Consultez également les procédures manuelles complémentaires https://icinga.com/blog/2021/07/15/releasing-icinga-2-12-5-and-2-11-10/#change-ticket-salt et https://icinga.com/blog/2021/07/15/releasing-icinga-2-12-5-and-2-11-10/#replace-icinga-ca.

• CVE-2021-32743

  Certaines des fonctionnalités d'Icinga 2 qui ont besoin d'accréditations pour des services externes exposent ces accréditations à travers l'API pour authentifier les utilisateurs de l'API avec des droits de lecture pour les types d'objet correspondants. IdoMysqlConnection et IdoPgsqlConnection exposent le mot de passe de l'utilisateur utilisé pour se connecter à la base de données. Un attaquant qui obtient ces accréditations peut usurper l'identité d'Icinga pour ces services et y ajouter, modifier et supprimer des informations. Si des accréditations dotées de plus de permissions sont utilisées, cela accroît l'impact en conséquence.

• CVE-2021-37698

  InfluxdbWriter et Influxdb2Writer ne vérifiaient pas le certificat du serveur bien qu'une autorité de certification ait été spécifiée. Les instances d'Icinga 2 qui se connectent à n'importe laquelle des bases de données de séries chronologiques (TSDB) en se servant de TLS sur une infrastructure qui peut être usurpée, devraient immédiatement être mises à niveau. Ces instances modifient aussi les accréditations (s'il y en a) utilisées par la fonction d'écriture de TSDB pour s'authentifier à la TSDB.

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 2.6.0-2+deb9u2.

Nous vous recommandons de mettre à jour vos paquets icinga2.

Pour disposer d'un état détaillé sur la sécurité de icinga2, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/icinga2.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.