Vulnerabilidad en Icinga (CVE-2024-49369)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-295
Validación incorrecta de certificados
Fecha de publicación:
12/11/2024
Última modificación:
13/11/2024
Descripción
Icinga es un sistema de monitoreo que verifica la disponibilidad de los recursos de red, notifica a los usuarios sobre interrupciones y genera datos de rendimiento para informes. La validación del certificado TLS en todas las versiones de Icinga 2 a partir de la 2.4.0 tenía fallas, lo que permitía a un atacante hacerse pasar tanto por nodos de clúster confiables como por cualquier usuario de API que use certificados de cliente TLS para autenticación (objetos ApiUser con el atributo client_cn establecido). Esta vulnerabilidad se ha corregido en v2.14.3, v2.13.10, v2.12.11 y v2.11.12.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Referencias a soluciones, herramientas e información
- https://github.com/Icinga/icinga2/commit/0419a2c36de408e9a703aec0962061ec9a285d3c
- https://github.com/Icinga/icinga2/commit/2febc5e18ae0c93d989e64ebc2a9fd90e7205ad8
- https://github.com/Icinga/icinga2/commit/3504fc7ed688c10d86988e2029a65efc311393fe
- https://github.com/Icinga/icinga2/commit/869a7d6f0fe38c748e67bacc1fbdd42c933030f6
- https://github.com/Icinga/icinga2/commit/8fed6608912c752b337d977f730547875a820831
- https://github.com/Icinga/icinga2/security/advisories/GHSA-j7wq-r9mg-9wpv
- https://icinga.com/blog/2024/11/12/critical-icinga-2-security-releases-2-14-3