Checkmk hat eine Sicherheitslücke in der Komponente check_sftp behoben, die es Nutzern ermöglichte, beliebige lokale Pfade zum Hoch- und Herunterladen von Dateien zu verwenden. Diese Lücke wurde durch eine interne Überprüfung entdeckt und betrifft die Versionen 2.1.0, 2.2.0, 2.3.0 sowie die inzwischen nicht mehr unterstützte Version 2.0.0.
Vor diesem Update gab es keine Beschränkungen für lokale Pfade in check_sftp, was Nutzern mit entsprechenden Berechtigungen erlaubte, Dateien innerhalb des Checkmk-Site-Home-Verzeichnisses zu lesen oder zu schreiben. Dies konnte potenziell zu Sicherheitsrisiken führen.
Die lokalen Pfade sind nun auf das Verzeichnis var/check_mk/active_checks/check_sftp innerhalb des Checkmk-Site-Home-Verzeichnisses beschränkt. Dadurch werden die lokalen Pfade in bestehenden Konfigurationen relativ zu diesem neuen Ordner interpretiert. Wenn die lokale Datei, die hochgeladen werden soll, nicht existiert, wird eine Testdatei erstellt, sodass der Check weiterhin funktioniert, aber keine Dateien mehr vom alten Speicherort verwendet werden. Heruntergeladene Dateien werden ebenfalls im neuen Speicherort gespeichert.
Betroffene Versionen
- Checkmk 2.3.0
- Checkmk 2.2.0
- Checkmk 2.1.0
- Checkmk 2.0.0 (EOL)
Die Sicherheitslücke wurde mit einem CVSS-Score von 8.8 (hoch) bewertet, basierend auf dem CVSS v3.1 Vektor: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H. Die Schwachstelle wurde unter der CVE-Nummer CVE-2024-28826 registriert.
Diese Änderung erfordert möglicherweise manuelle Anpassungen an bestehenden Konfigurationen, da sie inkompatibel mit den bisherigen Einstellungen ist. Nutzer sollten ihre Konfigurationen überprüfen und gegebenenfalls anpassen, um die neuen Pfade zu berücksichtigen.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: