FERRAMENTAS LINUX: Atualização moderada de segurança do openSUSE para o icinga2, aviso openSUSE: 2020: 1820-1

terça-feira, 3 de novembro de 2020

Atualização moderada de segurança do openSUSE para o icinga2, aviso openSUSE: 2020: 1820-1

 

Confira !!


Uma atualização que resolve uma vulnerabilidade e tem duas correções agora está disponível.

   Atualização de segurança do openSUSE: atualização de segurança para icinga2

______________________________________________________________________________


ID do anúncio: openSUSE-SU-2020: 1820-1

Avaliação: moderada

Referências: # 1159869 # 1172171 # 1174075 

Referências cruzadas: CVE-2020-14004

Produtos afetados:

                    openSUSE Leap 15.2

                    openSUSE Leap 15.1

                    Backports do openSUSE SLE-15-SP2

                    Backports do openSUSE SLE-15-SP1

______________________________________________________________________________


   Uma atualização que resolve uma vulnerabilidade e tem duas correções

   está agora disponivel.


Descrição:


   Esta atualização para icinga2 corrige os seguintes problemas:


   - Informações que desde a versão 2.12.0 o seguinte problema de segurança foi corrigido:

     O script prepare-dirs permite um ataque de link simbólico no usuário icinga

     contexto. boo # 1172171 (CVE-2020-14004)


   Atualize para 2.12.1:


     * Correções de bugs

       + Core

         - Corrigir falhas durante a atualização de configuração # 8348 # 8345

         - Corrigir falha ao remover um tempo de inatividade # 8228

         - Certifique-se de que o daemon não seja morto pelo logrotate # 8170

         - Corrigir desligamento durante o desligamento # 8211

         - Corrigir um impasse no Icinga DB # 8168

         - Limpe os processos zumbis durante a recarga # 8376

         - Reduza a latência de verificação # 8276

       + IDO

         - Evite atualizações desnecessárias de IDO # 8327 # 8320

         - Confirme transações IDO MySQL anteriores # 8349

         - Certifique-se de inserir o status do programa IDO # 8330

         - Melhorar o registro de estatísticas da fila IDO # 8271 # 8328 # 8379

       + Misc

         - Certifique-se de que as conexões API estejam fechadas corretamente # 8293

         - Previna notificações desnecessárias # 8299

         - Não ignore os valores nulos dos argumentos de comando # 8174

         - Corrigir Windows .exe versão # 8234

         - Redefina o aviso de verificação do Icinga após a atualização de configuração # 8189


   Atualize para 2.12.0:


     * Quebrando mudanças

       - Suspender plug-ins do Windows em favor de nosso

       - Plug-ins do PowerShell # 8071

       - Suspender Livestatus # 8051

       - Recusar o reconhecimento de um verificável # 7695 já reconhecido

       - Config lexer: reclamar sobre EOF em heredocs, ou seja, {{{abc # 7541

     * Melhorias

       + Core

         - Implementar um novo back-end de banco de dados: Icinga DB # 7571

         - Reenviar notificações anteriormente suprimidas por seus períodos de tempo

   # 7816

       + API

         - Host / Serviço: Adicionarknowgement_last_change e next_update

   atributos # 7881 # 7534

         - Melhorar a mensagem de erro para consultas POST # 7681

         - / v1 / actions / remove-comment: permite que os usuários se especifiquem # 7646

         - / v1 / actions / remove-downtime: permite que os usuários se especifiquem # 7645

         - / v1 / config / stage: Adicione o parâmetro 'ativar' # 7535

       + CLI

         - Adicione o comando pki verify para melhor solução de problemas de certificado TLS

   # 7843

         - Adicione a versão OpenSSL à seção 'Build' em - versão # 7833

         - Melhore a experiência com 'Configuração de Nó para Agentes / Satélite' # 7835

       + DSL

         - Adicione get_template () e get_templates () # 7632

         - MacroProcessor :: ResolveArguments (): pula os valores de argumento nulos # 7567

         - Corrigir falha devido à regra de aplicação de dependência com ignore_on_error e

   pai não existente # 7538

         - Apresente o operador ternário (x? Y: z) # 7442

         - LegacyTimePeriod: suporte especificando segundos # 7439

         - Adicionar suporte para Lambda Closures (() use (x) => x e () use (x) => {

   return x}) # 7417

       + ITL

         - Adicione o parâmetro notemp ao oracle health # 7748

         - Adicionar opções de verificações estendidas ao modelo de comando da interface snmp

   # 7602

         - Adicionar verificação de idade do arquivo para a definição de comando do Windows # 7540

       + Docs

         - Desenvolvimento: Atualize as instruções de depuração # 7867

         - Adicionar novos clientes API # 7859

         - Esclareça CRITICAL vs. UNKNOWN # 7665

         - Explicar explicitamente como desativar as verificações de atualização # 7664

         - Atualizar instalação para RHEL / CentOS 8 e SLES 15 # 7640

         - Adicione um exemplo Powershell para validar o certificado # 7603

       + Misc

         - Não envie evento :: Heartbeat para pares não autenticados # 7747

         - OpenTsdbWriter: Adicionar suporte de tag personalizada # 7357

     * Correções de bugs

       + Core

         - Corrigir travamentos JSON-RPC # 7532 # 7737

         - Corrigir definições de zona nas zonas # 7546

         - Corrigir impasse durante a inicialização no OpenBSD # 7739

         - Considere PENDING não um problema # 7685

         - Corrigir processos zumbis após recarregar # 7606

         - Não espere que as verificações terminem durante a recarga # 7894

       + Cluster

         - Corrigir segfault durante o tempo limite de pulsação com clientes ainda não assinados

   # 7970

         - Tornar o processo de atualização de configuração mutuamente exclusivo (impede o arquivo

   condições de corrida do sistema) # 7936

         - Corrigir check_timeout não sendo encaminhado para terminais de comando do agente

   # 7861

         - Sincronização de configuração: use uma mensagem mais amigável quando as configurações forem iguais

   e não precisa de recarregar # 7811

         - Corrigir conexões abertas quando o agente esperar pela aprovação da CA nº 7686

         - Considere um JsonRpcConnection ativo em um único byte de TLS

   carga útil, não apenas em uma mensagem inteira # 7836

         - Enviar pulsação JsonRpcConnection a cada 20s em vez de 10s # 8102

         - Use a pulsação JsonRpcConnection apenas para atualizar a atividade da conexão

   (m_Seen) # 8142

         - Corrigir o contexto TLS que não está sendo atualizado em mensagens de certificado assinado

   nos agentes # 7654

       + API

         - Fechar conexões sem apertos de mão TLS bem-sucedidos após 10s # 7809

         - Lidar com exceções de permissão em breve, retornando 404 # 7528

       + SELinux

         - Fix safe-reload # 7858

         - Permitir notificações SMTP diretas # 7749

       + Windows

         - Encerrar processos de verificação com estado DESCONHECIDO no tempo limite # 7788

         - Certifique-se de que os arquivos de repetição de log foram renomeados corretamente como # 7767

       + Métricas

         - Graphite / OpenTSDB: Certifique-se de que a falha de reconexão seja detectada # 7765

         - Sempre envie 0 como valor para os limites # 7696

       + Scripts

         - Corrija os scripts de notificação para permanecer compatível com o Dash # 7706

         - Corrigir a continuação da linha bash em mail-host-notification.sh # 7701

         - Corrigir comparação de sequência de scripts de notificação # 7647

         - Notificações de email de serviço e host: adicione quebras de linha a muito longos

   saída # 6822

         - Defina o cabeçalho do assunto do e-mail UTF-8 correto (RFC1342) # 6369

       + Misc

         - DSL: corrige o segfault devido à passagem de null como função personalizada para

   Matriz # {classificar, mapear, reduzir, filtrar, qualquer, todos} () # 8053

         - CLI: pki save-cert: permite especificar --key e --cert para

   compatibilidade com versões anteriores # 7995

         - Capture exceção quando o certificado confiável não for legível durante o nó

   configuração no agente / satélite # 7838

         - CheckCommand ssl: corrige o parâmetro errado -N # 7741

         - Correções de qualidade de código

         - Pequenas correções de documentação


   - A atualização para 2.11.5 versão 2.11.5 corrige as condições de corrida do sistema de arquivos no

     processo de atualização de configuração que ocorre em grandes ambientes HA e melhora

     os mecanismos de ativação da conexão do cluster.

     * Correções de bugs

       + Tornar o processo de atualização de configuração mutuamente exclusivo (impede o arquivo

         condições de corrida do sistema) # 8093

       + Considere um JsonRpcConnection ativo em um único byte de carga útil TLS,

         não apenas em uma mensagem inteira # 8094

       + Enviar pulsação JsonRpcConnection a cada 20s em vez de 10s # 8103

       + Use a pulsação JsonRpcConnection apenas para atualizar a atividade da conexão

         (m_Seen) # 8097


   - A atualização para 2.11.4 versão 2.11.4 corrige uma falha durante um tempo limite de pulsação

     com clientes ainda não assinados. Também resolve um problema com endpoints

     não reconectar após uma recarga / implantação, o que causou muitos DESCONHECIDOS

     estados.

     * Correções de bugs

       + Cluster

         - Corrigir segfault durante o tempo limite de pulsação com clientes ainda não assinados

   # 7997

         - Corrigir endpoints que não se reconectam após recarregar (DESCONHECIDO

   hosts / serviços após recarregar) # 8043

       + Configuração

         - Corrigir exceção no certificado confiável não legível durante a configuração do nó # 8044

         - prepare-dirs: Defina as permissões apenas durante a criação do diretório # 8046

       + DSL

         - Correção de falha de segurança na ausência da função de comparação nas funções de Array (classificar,

   mapear, reduzir, filtrar, qualquer, todos) # 8054


   - Atualização para 2.11.3

     * Correções de bugs

       - Cluster Fix JSON-RPC travamentos (# 7532) em grandes ambientes: # 7846

         # 7848 # 7849


   - Defina a versão de reforço mínima necessária para 1,66


   - Corrigir boo # 1159869 Erro de permissão ao usar o assistente icinga cli.


   - BuildRequire pkgconfig (libsystemd) em vez de systemd-devel: Aloow OBS

     para atalhos através dos sabores -mini.


   - Atualização para 2.11.2 Esta versão corrige um problema onde o recém-introduzido

     A funcionalidade "check-change-then-reload" de sincronização de configuração pode causar intermináveis

     recarregar loops com agentes. As partes mais visíveis estão falhando no comando

     o endpoint verifica com o estado "não conectado" DESCONHECIDO. Aplica-se apenas a HA

     zonas habilitadas com 2 mestres e / ou 2 satélites.

     * Correções de bugs

       - Sincronização de configuração de cluster

         - A detecção de alteração de checksum de sincronização de configuração pode não funcionar em alta

   carregar clusters HA # 7565


   - Atualização para 2.11.1 Esta versão corrige um bug oculto de longa duração revelado

     com 2.11 e configurações distribuídas. Se você é afetado por

     agentes / satélites não aceitando mais a configuração, ou não recarregando,

     atualize.

     * Correções de bugs

       - Sincronização de configuração de cluster

         - Nunca aceite marcadores de configuração autorizados de outras instâncias

   # 7552

         - Isso afeta as configurações onde o agente / satélites são mais novos que o

   mestre de configuração, por exemplo, satélite / agente = 2.11.0, mestre = 2.10.

       - Configuração

         - A mensagem de erro para command_endpoint deve sugerir que a zona não é

   conjunto # 7514

         - A variável global 'ActiveStageOverride' foi definida implicitamente por meio de

   'ActiveStageOverride ... # 7521

     * Documentação

       - Documentos: adicione detalhes de atualização / solução de problemas para repositórios, sincronização de configuração,

         agentes # 7526

         - Explicar os requisitos do repositório para 2.11:

   https://icinga.com/docs/icinga2/latest/doc/16-upgrading-icinga-2/#added-boo

   st-166

         - objetos command_endpoint requerem uma zona:

   https://icinga.com/docs/icinga2/latest/doc/16-upgrading-icinga-2/#agent-hos

   ts-with-command-endpoint-require-a-zone

         - Zonas declaradas em zonas.d não são mais carregadas:

   https://icinga.com/docs/icinga2/latest/doc/16-upgrading-icinga-2/#config-sy

   nc-zones-in-zones


   - Atualização para 2.11.0

     * Testemunho

       - Reescrever a pilha de rede (cluster, REST API) com base no Boost Asio,

         Besta, corrotinas

         - Conceito técnico: # 7041

         - Requer atualizações de pacote: Boost> 1,66 (de

   packages.icinga.com, EPEL ou backports). SLES11 e Ubuntu 14 são EOL.

         - Exigir TLS 1.2 e fortalecer a lista de cifras padrão

       - Manipulação de recarga aprimorada (processo abrangente, agora com 3 processos em

         tempo de execução)

         - Suporte para execução de Icinga 2 em contêineres (Docker) nativamente em

   primeiro plano

       - Qualidade: Use JSON moderno para biblioteca C ++ em vez de YAJL (morto

         projeto)

       - Qualidade: melhora o manuseio de strings UTF8 inválidas

     * API

       - Corrigir falhas no Linux, Unix e Windows de varreduras Nessus # 7431

       - Bloqueios e esperas travadas são corrigidos com a reescrita do núcleo em # 7071

       - a ação de cronograma de inatividade suporta all_services para períodos de inatividade do host

       - Melhorar o manuseio de armazenamento para objetos criados em tempo de execução no _api

         pacote

     * Grupo

       - Recursos e melhorias com reconhecimento de HA para manipulação de failover # 2941 # 7062

       - Melhore a sincronização da configuração do cluster com o teste # 6716

       - Corrigido que os mesmos objetos de tempo de inatividade / comentário seriam sincronizados novamente em um

         loop de cluster # 7198

     * Verificações e notificações

       - Certifique-se de que as notificações durante uma reinicialização sejam enviadas

       - Notificar imediatamente sobre um problema após sair de um período de inatividade e

         ainda NÃO-OK

       - Melhore o manuseio de recarga e aguarde recursos / métricas

       - Armazene os resultados do comando de notificação e sincronize-os em zonas habilitadas para HA

         # 6722

     * DSL / Configuração

       - Adicionar função getenv ()

       - Corrigir suporte para intervalo TimePeriod durante a meia-noite

       - concurrent_checks no recurso Checker não tem efeito, use o

         constante MaxConcurrentChecks global em vez disso

     * CLI

       - Permissões: assistente / configuração de nó, recurso, configuração de API agora executado no

         Icinga contexto de usuário, não root

       - ca lista mostra CSRs pendentes por padrão, ca remove / restaura permite

         excluir pedidos de assinatura

     * ITL

       - Adicionar novos comandos e atributos ausentes

     * Janelas

       - Atualizar NSClient ++ empacotado para 0.5.2.39

       - Refinar o assistente de configuração do agente e atualizar os requisitos para .NET 4.6

     * Documentação

       - Monitoramento de serviço: como criar plug-ins por exemplo, verificar comandos

         e uma versão moderna da API de plug-in compatível com as melhores práticas

       - Recursos: melhor estrutura de métricas e recursos compatíveis

       - Conceitos técnicos: Rede TLS IO, recurso de cluster HA, cluster

         Sincronização de configuração

       - Desenvolvimento: Reescrito para melhor depuração e desenvolvimento

         experiência para colaboradores, incluindo um guia de estilo. Adicionar todas as noites

         construir instruções de configuração.

       - Pacote: INSTALL.md foi integrado ao capítulo de Desenvolvimento,

         estando disponível em https://icinga.com/docs também.


   - Atualização para 2.10.6

     * Correções de bugs

       - Corrigir el7 não carregando conjuntos de criptografia ECDHE # 7247


   - atualização para 2.10.5

     * Testemunho

       - Corrigir falhas com sinais logrotate # 6737 (obrigado Elias Ohm)

     * API

       - Corrija travamentos e problemas com filtros de permissão recentes

         Introdução ao namespace # 6785 (obrigado Elias Ohm) # 6874 (backported

         de 2.11)

       - Reduza o spam de registro com conexões bloqueadas (o verdadeiro conserto é a rede

         pilha reescrita em 2.11) # 6877

     * Grupo

       - Corrigir problemas com a rotação e armazenamento do registro de repetição # 6932 (obrigado

         Peter Eckel)

     * BD IDO

       - Corrigir que o desligamento de recarga desativa hosts e grupos de hosts

         (introduzido em 2.9) # 7157

     * Documentação

       - Melhorar o capítulo da API REST: manuseio de timestamp Unix, filtros,

         unificar solicitações POST com filtros no corpo

       - Melhor layout para o capítulo de recursos, especificamente métricas e

         eventos

       - Divida os tipos de objetos em monitoramento, tempo de execução, recursos

       - Adicionar conceitos técnicos para mensagens de cluster



Instruções do patch:


   Para instalar esta atualização de segurança do openSUSE, use os métodos de instalação recomendados pelo SUSE

   como YaST online_update ou "patch zypper".


   Como alternativa, você pode executar o comando listado para o seu produto:


   - openSUSE Leap 15.2:


      zypper em patch -t openSUSE-2020-1820 = 1


   - openSUSE Leap 15.1:


      zypper em patch -t openSUSE-2020-1820 = 1


   - Backports do openSUSE SLE-15-SP2:


      zypper em patch -t openSUSE-2020-1820 = 1


   - Backports do openSUSE SLE-15-SP1:


      zypper em patch -t openSUSE-2020-1820 = 1




Lista de Pacotes:


   - openSUSE Leap 15.2 (x86_64):


      icinga2-2.12.1-lp152.3.3.3

      icinga2-bin-2.12.1-lp152.3.3.3

      icinga2-bin-debuginfo-2.12.1-lp152.3.3.3

      icinga2-common-2.12.1-lp152.3.3.3

      icinga2-debuginfo-2.12.1-lp152.3.3.3

      icinga2-debugsource-2.12.1-lp152.3.3.3

      icinga2-doc-2.12.1-lp152.3.3.3

      icinga2-ido-mysql-2.12.1-lp152.3.3.3

      icinga2-ido-mysql-debuginfo-2.12.1-lp152.3.3.3

      icinga2-ido-pgsql-2.12.1-lp152.3.3.3

      icinga2-ido-pgsql-debuginfo-2.12.1-lp152.3.3.3

      nano-icinga2-2.12.1-lp152.3.3.3

      vim-icinga2-2.12.1-lp152.3.3.3


   - openSUSE Leap 15.1 (x86_64):


      icinga2-2.12.1-lp151.2.3.4

      icinga2-bin-2.12.1-lp151.2.3.4

      icinga2-bin-debuginfo-2.12.1-lp151.2.3.4

      icinga2-common-2.12.1-lp151.2.3.4

      icinga2-debuginfo-2.12.1-lp151.2.3.4

      icinga2-debugsource-2.12.1-lp151.2.3.4

      icinga2-doc-2.12.1-lp151.2.3.4

      icinga2-ido-mysql-2.12.1-lp151.2.3.4

      icinga2-ido-mysql-debuginfo-2.12.1-lp151.2.3.4

      icinga2-ido-pgsql-2.12.1-lp151.2.3.4

      icinga2-ido-pgsql-debuginfo-2.12.1-lp151.2.3.4

      nano-icinga2-2.12.1-lp151.2.3.4

      vim-icinga2-2.12.1-lp151.2.3.4


   - Backports do openSUSE SLE-15-SP2 (aarch64 ppc64le x86_64):


      icinga2-2.12.1-bp152.4.3.1

      icinga2-bin-2.12.1-bp152.4.3.1

      icinga2-bin-debuginfo-2.12.1-bp152.4.3.1

      icinga2-common-2.12.1-bp152.4.3.1

      icinga2-debuginfo-2.12.1-bp152.4.3.1

      icinga2-debugsource-2.12.1-bp152.4.3.1

      icinga2-doc-2.12.1-bp152.4.3.1

      icinga2-ido-mysql-2.12.1-bp152.4.3.1

      icinga2-ido-mysql-debuginfo-2.12.1-bp152.4.3.1

      icinga2-ido-pgsql-2.12.1-bp152.4.3.1

      icinga2-ido-pgsql-debuginfo-2.12.1-bp152.4.3.1

      nano-icinga2-2.12.1-bp152.4.3.1

      vim-icinga2-2.12.1-bp152.4.3.1


   - backports do openSUSE SLE-15-SP1 (aarch64 ppc64le x86_64):


      icinga2-2.12.1-bp151.3.3.4

      icinga2-bin-2.12.1-bp151.3.3.4

      icinga2-common-2.12.1-bp151.3.3.4

      icinga2-doc-2.12.1-bp151.3.3.4

      icinga2-ido-mysql-2.12.1-bp151.3.3.4

      icinga2-ido-pgsql-2.12.1-bp151.3.3.4

      nano-icinga2-2.12.1-bp151.3.3.4

      vim-icinga2-2.12.1-bp151.3.3.4



Referências:


   https://www.suse.com/security/cve/CVE-2020-14004.html

   https://bugzilla.suse.com/1159869

   https://bugzilla.suse.com/1172171

   https://bugzilla.suse.com/1174075


Fonte 

Até a próxima !!

Nenhum comentário:

Postar um comentário