Confira !!
Uma atualização que resolve uma vulnerabilidade e tem duas correções agora está disponível.
Atualização de segurança do openSUSE: atualização de segurança para icinga2
______________________________________________________________________________
ID do anúncio: openSUSE-SU-2020: 1820-1
Avaliação: moderada
Referências: # 1159869 # 1172171 # 1174075
Referências cruzadas: CVE-2020-14004
Produtos afetados:
openSUSE Leap 15.2
openSUSE Leap 15.1
Backports do openSUSE SLE-15-SP2
Backports do openSUSE SLE-15-SP1
______________________________________________________________________________
Uma atualização que resolve uma vulnerabilidade e tem duas correções
está agora disponivel.
Descrição:
Esta atualização para icinga2 corrige os seguintes problemas:
- Informações que desde a versão 2.12.0 o seguinte problema de segurança foi corrigido:
O script prepare-dirs permite um ataque de link simbólico no usuário icinga
contexto. boo # 1172171 (CVE-2020-14004)
Atualize para 2.12.1:
* Correções de bugs
+ Core
- Corrigir falhas durante a atualização de configuração # 8348 # 8345
- Corrigir falha ao remover um tempo de inatividade # 8228
- Certifique-se de que o daemon não seja morto pelo logrotate # 8170
- Corrigir desligamento durante o desligamento # 8211
- Corrigir um impasse no Icinga DB # 8168
- Limpe os processos zumbis durante a recarga # 8376
- Reduza a latência de verificação # 8276
+ IDO
- Evite atualizações desnecessárias de IDO # 8327 # 8320
- Confirme transações IDO MySQL anteriores # 8349
- Certifique-se de inserir o status do programa IDO # 8330
- Melhorar o registro de estatísticas da fila IDO # 8271 # 8328 # 8379
+ Misc
- Certifique-se de que as conexões API estejam fechadas corretamente # 8293
- Previna notificações desnecessárias # 8299
- Não ignore os valores nulos dos argumentos de comando # 8174
- Corrigir Windows .exe versão # 8234
- Redefina o aviso de verificação do Icinga após a atualização de configuração # 8189
Atualize para 2.12.0:
* Quebrando mudanças
- Suspender plug-ins do Windows em favor de nosso
- Plug-ins do PowerShell # 8071
- Suspender Livestatus # 8051
- Recusar o reconhecimento de um verificável # 7695 já reconhecido
- Config lexer: reclamar sobre EOF em heredocs, ou seja, {{{abc # 7541
* Melhorias
+ Core
- Implementar um novo back-end de banco de dados: Icinga DB # 7571
- Reenviar notificações anteriormente suprimidas por seus períodos de tempo
# 7816
+ API
- Host / Serviço: Adicionarknowgement_last_change e next_update
atributos # 7881 # 7534
- Melhorar a mensagem de erro para consultas POST # 7681
- / v1 / actions / remove-comment: permite que os usuários se especifiquem # 7646
- / v1 / actions / remove-downtime: permite que os usuários se especifiquem # 7645
- / v1 / config / stage: Adicione o parâmetro 'ativar' # 7535
+ CLI
- Adicione o comando pki verify para melhor solução de problemas de certificado TLS
# 7843
- Adicione a versão OpenSSL à seção 'Build' em - versão # 7833
- Melhore a experiência com 'Configuração de Nó para Agentes / Satélite' # 7835
+ DSL
- Adicione get_template () e get_templates () # 7632
- MacroProcessor :: ResolveArguments (): pula os valores de argumento nulos # 7567
- Corrigir falha devido à regra de aplicação de dependência com ignore_on_error e
pai não existente # 7538
- Apresente o operador ternário (x? Y: z) # 7442
- LegacyTimePeriod: suporte especificando segundos # 7439
- Adicionar suporte para Lambda Closures (() use (x) => x e () use (x) => {
return x}) # 7417
+ ITL
- Adicione o parâmetro notemp ao oracle health # 7748
- Adicionar opções de verificações estendidas ao modelo de comando da interface snmp
# 7602
- Adicionar verificação de idade do arquivo para a definição de comando do Windows # 7540
+ Docs
- Desenvolvimento: Atualize as instruções de depuração # 7867
- Adicionar novos clientes API # 7859
- Esclareça CRITICAL vs. UNKNOWN # 7665
- Explicar explicitamente como desativar as verificações de atualização # 7664
- Atualizar instalação para RHEL / CentOS 8 e SLES 15 # 7640
- Adicione um exemplo Powershell para validar o certificado # 7603
+ Misc
- Não envie evento :: Heartbeat para pares não autenticados # 7747
- OpenTsdbWriter: Adicionar suporte de tag personalizada # 7357
* Correções de bugs
+ Core
- Corrigir travamentos JSON-RPC # 7532 # 7737
- Corrigir definições de zona nas zonas # 7546
- Corrigir impasse durante a inicialização no OpenBSD # 7739
- Considere PENDING não um problema # 7685
- Corrigir processos zumbis após recarregar # 7606
- Não espere que as verificações terminem durante a recarga # 7894
+ Cluster
- Corrigir segfault durante o tempo limite de pulsação com clientes ainda não assinados
# 7970
- Tornar o processo de atualização de configuração mutuamente exclusivo (impede o arquivo
condições de corrida do sistema) # 7936
- Corrigir check_timeout não sendo encaminhado para terminais de comando do agente
# 7861
- Sincronização de configuração: use uma mensagem mais amigável quando as configurações forem iguais
e não precisa de recarregar # 7811
- Corrigir conexões abertas quando o agente esperar pela aprovação da CA nº 7686
- Considere um JsonRpcConnection ativo em um único byte de TLS
carga útil, não apenas em uma mensagem inteira # 7836
- Enviar pulsação JsonRpcConnection a cada 20s em vez de 10s # 8102
- Use a pulsação JsonRpcConnection apenas para atualizar a atividade da conexão
(m_Seen) # 8142
- Corrigir o contexto TLS que não está sendo atualizado em mensagens de certificado assinado
nos agentes # 7654
+ API
- Fechar conexões sem apertos de mão TLS bem-sucedidos após 10s # 7809
- Lidar com exceções de permissão em breve, retornando 404 # 7528
+ SELinux
- Fix safe-reload # 7858
- Permitir notificações SMTP diretas # 7749
+ Windows
- Encerrar processos de verificação com estado DESCONHECIDO no tempo limite # 7788
- Certifique-se de que os arquivos de repetição de log foram renomeados corretamente como # 7767
+ Métricas
- Graphite / OpenTSDB: Certifique-se de que a falha de reconexão seja detectada # 7765
- Sempre envie 0 como valor para os limites # 7696
+ Scripts
- Corrija os scripts de notificação para permanecer compatível com o Dash # 7706
- Corrigir a continuação da linha bash em mail-host-notification.sh # 7701
- Corrigir comparação de sequência de scripts de notificação # 7647
- Notificações de email de serviço e host: adicione quebras de linha a muito longos
saída # 6822
- Defina o cabeçalho do assunto do e-mail UTF-8 correto (RFC1342) # 6369
+ Misc
- DSL: corrige o segfault devido à passagem de null como função personalizada para
Matriz # {classificar, mapear, reduzir, filtrar, qualquer, todos} () # 8053
- CLI: pki save-cert: permite especificar --key e --cert para
compatibilidade com versões anteriores # 7995
- Capture exceção quando o certificado confiável não for legível durante o nó
configuração no agente / satélite # 7838
- CheckCommand ssl: corrige o parâmetro errado -N # 7741
- Correções de qualidade de código
- Pequenas correções de documentação
- A atualização para 2.11.5 versão 2.11.5 corrige as condições de corrida do sistema de arquivos no
processo de atualização de configuração que ocorre em grandes ambientes HA e melhora
os mecanismos de ativação da conexão do cluster.
* Correções de bugs
+ Tornar o processo de atualização de configuração mutuamente exclusivo (impede o arquivo
condições de corrida do sistema) # 8093
+ Considere um JsonRpcConnection ativo em um único byte de carga útil TLS,
não apenas em uma mensagem inteira # 8094
+ Enviar pulsação JsonRpcConnection a cada 20s em vez de 10s # 8103
+ Use a pulsação JsonRpcConnection apenas para atualizar a atividade da conexão
(m_Seen) # 8097
- A atualização para 2.11.4 versão 2.11.4 corrige uma falha durante um tempo limite de pulsação
com clientes ainda não assinados. Também resolve um problema com endpoints
não reconectar após uma recarga / implantação, o que causou muitos DESCONHECIDOS
estados.
* Correções de bugs
+ Cluster
- Corrigir segfault durante o tempo limite de pulsação com clientes ainda não assinados
# 7997
- Corrigir endpoints que não se reconectam após recarregar (DESCONHECIDO
hosts / serviços após recarregar) # 8043
+ Configuração
- Corrigir exceção no certificado confiável não legível durante a configuração do nó # 8044
- prepare-dirs: Defina as permissões apenas durante a criação do diretório # 8046
+ DSL
- Correção de falha de segurança na ausência da função de comparação nas funções de Array (classificar,
mapear, reduzir, filtrar, qualquer, todos) # 8054
- Atualização para 2.11.3
* Correções de bugs
- Cluster Fix JSON-RPC travamentos (# 7532) em grandes ambientes: # 7846
# 7848 # 7849
- Defina a versão de reforço mínima necessária para 1,66
- Corrigir boo # 1159869 Erro de permissão ao usar o assistente icinga cli.
- BuildRequire pkgconfig (libsystemd) em vez de systemd-devel: Aloow OBS
para atalhos através dos sabores -mini.
- Atualização para 2.11.2 Esta versão corrige um problema onde o recém-introduzido
A funcionalidade "check-change-then-reload" de sincronização de configuração pode causar intermináveis
recarregar loops com agentes. As partes mais visíveis estão falhando no comando
o endpoint verifica com o estado "não conectado" DESCONHECIDO. Aplica-se apenas a HA
zonas habilitadas com 2 mestres e / ou 2 satélites.
* Correções de bugs
- Sincronização de configuração de cluster
- A detecção de alteração de checksum de sincronização de configuração pode não funcionar em alta
carregar clusters HA # 7565
- Atualização para 2.11.1 Esta versão corrige um bug oculto de longa duração revelado
com 2.11 e configurações distribuídas. Se você é afetado por
agentes / satélites não aceitando mais a configuração, ou não recarregando,
atualize.
* Correções de bugs
- Sincronização de configuração de cluster
- Nunca aceite marcadores de configuração autorizados de outras instâncias
# 7552
- Isso afeta as configurações onde o agente / satélites são mais novos que o
mestre de configuração, por exemplo, satélite / agente = 2.11.0, mestre = 2.10.
- Configuração
- A mensagem de erro para command_endpoint deve sugerir que a zona não é
conjunto # 7514
- A variável global 'ActiveStageOverride' foi definida implicitamente por meio de
'ActiveStageOverride ... # 7521
* Documentação
- Documentos: adicione detalhes de atualização / solução de problemas para repositórios, sincronização de configuração,
agentes # 7526
- Explicar os requisitos do repositório para 2.11:
https://icinga.com/docs/icinga2/latest/doc/16-upgrading-icinga-2/#added-boo
st-166
- objetos command_endpoint requerem uma zona:
https://icinga.com/docs/icinga2/latest/doc/16-upgrading-icinga-2/#agent-hos
ts-with-command-endpoint-require-a-zone
- Zonas declaradas em zonas.d não são mais carregadas:
https://icinga.com/docs/icinga2/latest/doc/16-upgrading-icinga-2/#config-sy
nc-zones-in-zones
- Atualização para 2.11.0
* Testemunho
- Reescrever a pilha de rede (cluster, REST API) com base no Boost Asio,
Besta, corrotinas
- Conceito técnico: # 7041
- Requer atualizações de pacote: Boost> 1,66 (de
packages.icinga.com, EPEL ou backports). SLES11 e Ubuntu 14 são EOL.
- Exigir TLS 1.2 e fortalecer a lista de cifras padrão
- Manipulação de recarga aprimorada (processo abrangente, agora com 3 processos em
tempo de execução)
- Suporte para execução de Icinga 2 em contêineres (Docker) nativamente em
primeiro plano
- Qualidade: Use JSON moderno para biblioteca C ++ em vez de YAJL (morto
projeto)
- Qualidade: melhora o manuseio de strings UTF8 inválidas
* API
- Corrigir falhas no Linux, Unix e Windows de varreduras Nessus # 7431
- Bloqueios e esperas travadas são corrigidos com a reescrita do núcleo em # 7071
- a ação de cronograma de inatividade suporta all_services para períodos de inatividade do host
- Melhorar o manuseio de armazenamento para objetos criados em tempo de execução no _api
pacote
* Grupo
- Recursos e melhorias com reconhecimento de HA para manipulação de failover # 2941 # 7062
- Melhore a sincronização da configuração do cluster com o teste # 6716
- Corrigido que os mesmos objetos de tempo de inatividade / comentário seriam sincronizados novamente em um
loop de cluster # 7198
* Verificações e notificações
- Certifique-se de que as notificações durante uma reinicialização sejam enviadas
- Notificar imediatamente sobre um problema após sair de um período de inatividade e
ainda NÃO-OK
- Melhore o manuseio de recarga e aguarde recursos / métricas
- Armazene os resultados do comando de notificação e sincronize-os em zonas habilitadas para HA
# 6722
* DSL / Configuração
- Adicionar função getenv ()
- Corrigir suporte para intervalo TimePeriod durante a meia-noite
- concurrent_checks no recurso Checker não tem efeito, use o
constante MaxConcurrentChecks global em vez disso
* CLI
- Permissões: assistente / configuração de nó, recurso, configuração de API agora executado no
Icinga contexto de usuário, não root
- ca lista mostra CSRs pendentes por padrão, ca remove / restaura permite
excluir pedidos de assinatura
* ITL
- Adicionar novos comandos e atributos ausentes
* Janelas
- Atualizar NSClient ++ empacotado para 0.5.2.39
- Refinar o assistente de configuração do agente e atualizar os requisitos para .NET 4.6
* Documentação
- Monitoramento de serviço: como criar plug-ins por exemplo, verificar comandos
e uma versão moderna da API de plug-in compatível com as melhores práticas
- Recursos: melhor estrutura de métricas e recursos compatíveis
- Conceitos técnicos: Rede TLS IO, recurso de cluster HA, cluster
Sincronização de configuração
- Desenvolvimento: Reescrito para melhor depuração e desenvolvimento
experiência para colaboradores, incluindo um guia de estilo. Adicionar todas as noites
construir instruções de configuração.
- Pacote: INSTALL.md foi integrado ao capítulo de Desenvolvimento,
estando disponível em https://icinga.com/docs também.
- Atualização para 2.10.6
* Correções de bugs
- Corrigir el7 não carregando conjuntos de criptografia ECDHE # 7247
- atualização para 2.10.5
* Testemunho
- Corrigir falhas com sinais logrotate # 6737 (obrigado Elias Ohm)
* API
- Corrija travamentos e problemas com filtros de permissão recentes
Introdução ao namespace # 6785 (obrigado Elias Ohm) # 6874 (backported
de 2.11)
- Reduza o spam de registro com conexões bloqueadas (o verdadeiro conserto é a rede
pilha reescrita em 2.11) # 6877
* Grupo
- Corrigir problemas com a rotação e armazenamento do registro de repetição # 6932 (obrigado
Peter Eckel)
* BD IDO
- Corrigir que o desligamento de recarga desativa hosts e grupos de hosts
(introduzido em 2.9) # 7157
* Documentação
- Melhorar o capítulo da API REST: manuseio de timestamp Unix, filtros,
unificar solicitações POST com filtros no corpo
- Melhor layout para o capítulo de recursos, especificamente métricas e
eventos
- Divida os tipos de objetos em monitoramento, tempo de execução, recursos
- Adicionar conceitos técnicos para mensagens de cluster
Instruções do patch:
Para instalar esta atualização de segurança do openSUSE, use os métodos de instalação recomendados pelo SUSE
como YaST online_update ou "patch zypper".
Como alternativa, você pode executar o comando listado para o seu produto:
- openSUSE Leap 15.2:
zypper em patch -t openSUSE-2020-1820 = 1
- openSUSE Leap 15.1:
zypper em patch -t openSUSE-2020-1820 = 1
- Backports do openSUSE SLE-15-SP2:
zypper em patch -t openSUSE-2020-1820 = 1
- Backports do openSUSE SLE-15-SP1:
zypper em patch -t openSUSE-2020-1820 = 1
Lista de Pacotes:
- openSUSE Leap 15.2 (x86_64):
icinga2-2.12.1-lp152.3.3.3
icinga2-bin-2.12.1-lp152.3.3.3
icinga2-bin-debuginfo-2.12.1-lp152.3.3.3
icinga2-common-2.12.1-lp152.3.3.3
icinga2-debuginfo-2.12.1-lp152.3.3.3
icinga2-debugsource-2.12.1-lp152.3.3.3
icinga2-doc-2.12.1-lp152.3.3.3
icinga2-ido-mysql-2.12.1-lp152.3.3.3
icinga2-ido-mysql-debuginfo-2.12.1-lp152.3.3.3
icinga2-ido-pgsql-2.12.1-lp152.3.3.3
icinga2-ido-pgsql-debuginfo-2.12.1-lp152.3.3.3
nano-icinga2-2.12.1-lp152.3.3.3
vim-icinga2-2.12.1-lp152.3.3.3
- openSUSE Leap 15.1 (x86_64):
icinga2-2.12.1-lp151.2.3.4
icinga2-bin-2.12.1-lp151.2.3.4
icinga2-bin-debuginfo-2.12.1-lp151.2.3.4
icinga2-common-2.12.1-lp151.2.3.4
icinga2-debuginfo-2.12.1-lp151.2.3.4
icinga2-debugsource-2.12.1-lp151.2.3.4
icinga2-doc-2.12.1-lp151.2.3.4
icinga2-ido-mysql-2.12.1-lp151.2.3.4
icinga2-ido-mysql-debuginfo-2.12.1-lp151.2.3.4
icinga2-ido-pgsql-2.12.1-lp151.2.3.4
icinga2-ido-pgsql-debuginfo-2.12.1-lp151.2.3.4
nano-icinga2-2.12.1-lp151.2.3.4
vim-icinga2-2.12.1-lp151.2.3.4
- Backports do openSUSE SLE-15-SP2 (aarch64 ppc64le x86_64):
icinga2-2.12.1-bp152.4.3.1
icinga2-bin-2.12.1-bp152.4.3.1
icinga2-bin-debuginfo-2.12.1-bp152.4.3.1
icinga2-common-2.12.1-bp152.4.3.1
icinga2-debuginfo-2.12.1-bp152.4.3.1
icinga2-debugsource-2.12.1-bp152.4.3.1
icinga2-doc-2.12.1-bp152.4.3.1
icinga2-ido-mysql-2.12.1-bp152.4.3.1
icinga2-ido-mysql-debuginfo-2.12.1-bp152.4.3.1
icinga2-ido-pgsql-2.12.1-bp152.4.3.1
icinga2-ido-pgsql-debuginfo-2.12.1-bp152.4.3.1
nano-icinga2-2.12.1-bp152.4.3.1
vim-icinga2-2.12.1-bp152.4.3.1
- backports do openSUSE SLE-15-SP1 (aarch64 ppc64le x86_64):
icinga2-2.12.1-bp151.3.3.4
icinga2-bin-2.12.1-bp151.3.3.4
icinga2-common-2.12.1-bp151.3.3.4
icinga2-doc-2.12.1-bp151.3.3.4
icinga2-ido-mysql-2.12.1-bp151.3.3.4
icinga2-ido-pgsql-2.12.1-bp151.3.3.4
nano-icinga2-2.12.1-bp151.3.3.4
vim-icinga2-2.12.1-bp151.3.3.4
Referências:
https://www.suse.com/security/cve/CVE-2020-14004.html
https://bugzilla.suse.com/1159869
https://bugzilla.suse.com/1172171
https://bugzilla.suse.com/1174075
-
Até a próxima !!
Nenhum comentário:
Postar um comentário