Die Monitoring-Software für komplexe IT-Infrastrukturen Nagios XI ist verwundbar. Abhilfe gibt es noch nicht.

Für drei Sicherheitslücken in der Netzwerk- und Host-Überwachungssoftware Nagios XI gibt es bislang keine Sicherheitsupdates. Angreifer könnten IT-Infrastrukturen attackieren und eigene Befehle ausführen. Attacken sind aber nicht ohne Weiteres möglich.

Alle drei Lücken sind mit dem Bedrohungsgrad „mittel“ eingestuft. Sicherheitsforscher von IBM nennen in den Warnmeldungen keine CVE-Nummern. Ihnen zufolge ist die Version 5.6.11 von den Lücken betroffen. Durch das Ausnutzen einer SQL-Injection-Schwachstelle soll ein entfernter Angreifer ohne Anmeldung Daten in der Backend-Datenbank manipulieren können.

Für das Ausnutzen der beiden anderen Lücken muss ein Angreifer über Zugriffsrechte verfügen. Er könnte dann über das Versenden von präparierten Anfragen Schadcode auf Systemen aufführen.

Ein Sprecher von Nagios versicherte, dass sie die Schwachstellen derzeit untersuchen. Wann Sicherheitspatches erscheinen, bleibt aber weiterhin unklar. Auf der offiziellen Changelog-Seite ist von den Lücken noch nichts zu finden.