Icinga2 セキュリティリリース v2.14.9(重要3件)+ v2.15.4 + v2.16.2
Icinga2 のセキュリティリリース v2.14.9、v2.15.4、v2.16.2 が公開されました。v2.14.9 では3件の深刻な脆弱性が修正されており、早急なアップデートが推奨されます。また、v2.15.4 および v2.16.2 にも重要なセキュリティ修正が含まれています。
背景メモ
- **Icinga2** はオープンソースの監視システム。ネットワーク機器やサーバーの死活監視、リソース監視、アラート通知などを行い、企業のIT運用で広く使われている。(競合はNagiosやZabbix)
- 本リリースでは**3件のCritical脆弱性**(CVSS 9.8/9.1/9.1)が修正された。いずれも認証なしで遠隔から悪用可能なもので、該当バージョン(v2.14.8以前、v2.15.3以前、v2.16.1以前)を使っている環境は至急アップデートが必要。
- 脆弱性の概要:①APIのJSONパース処理におけるスタックバッファオーバーフロー(DoSまたは任意コード実行)②同じくAPI経由のNULLポインタ参照(DoS)③チェック結果のディスク書き込みにおけるパストラバーサル(APIキー漏洩のリスク)。
- 影響を受けるのはIcinga2のAPI(デフォルトで5665/tcp)を外部公開している環境。ファイアウォールなどでAPIへのアクセスを制限していればリスクは軽減されるが、修正パッチの適用が強く推奨される。