The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Уязвимость в интерфейсе мониторинга Icinga Web"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в интерфейсе мониторинга Icinga Web"  +/
Сообщение от opennews (??), 19-Авг-20, 22:53 
Опубликованы корректирующие выпуски пакета  Icinga Web 2.6.4, 2.7.4 и v2.8.2, предоставляющего web-интерфейс для системы мониторинга Icinga. В предложенных обновлениях устранена критическая уязвимость (CVE-2020-24368), позволяющая неаутентифицированному атакующему получить доступ к файлам на сервере с привилегиями процесса Icinga Web (обычно пользователь, под которыми выполняется http-сервер или fpm)...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=53571

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Уязвимость в интерфейсе мониторинга Icinga Web"  +/
Сообщение от Аноним (1), 19-Авг-20, 22:53 
Ломайте - https://github.com/ip1981/nixsap/blob/master/pkgs/icingaweb2...
Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимость в интерфейсе мониторинга Icinga Web"  +1 +/
Сообщение от onanim (?), 20-Авг-20, 07:02 
> $_SERVER

падажжи, я правильно понимаю, что достаточно передать любой емейл в куке, чтобы тебя авторизовало?

Ответить | Правка | Наверх | Cообщить модератору

6. "Уязвимость в интерфейсе мониторинга Icinga Web"  +/
Сообщение от Аноним (1), 20-Авг-20, 07:58 
Только на локалхосте и только по тисипи. Но таких админов и без этого ломать можно.

https://github.com/ip1981/sproxy2

Ответить | Правка | Наверх | Cообщить модератору

2. "Уязвимость в интерфейсе мониторинга Icinga Web"  –10 +/
Сообщение от terryfilch (ok), 19-Авг-20, 23:02 
Мне казалось, что с 2014 года лучше коробочного мониторинга чем zabbix уже и нет. А таки динозавры живы... Ну не долго еще осталось ;)
Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимость в интерфейсе мониторинга Icinga Web"  +/
Сообщение от _ (??), 20-Авг-20, 01:00 
Прикол :) Я твой заббикс где-то тогда в последний раз и видел :) Ну может в 2015.
Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимость в интерфейсе мониторинга Icinga Web"  +/
Сообщение от Аноним (9), 20-Авг-20, 11:31 
О так это вы неадекватный ерлангист.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

10. "Уязвимость в интерфейсе мониторинга Icinga Web"  +1 +/
Сообщение от del (??), 20-Авг-20, 11:38 
Заббикс- это эталон как не надо делать интерфейс. Настолько нелогичным его сделать- это надо постараться! Правда вроде в 5ой версии до них чета дошло и они начали двигаться в нормальную сторону.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

17. "Уязвимость в интерфейсе мониторинга Icinga Web"  –3 +/
Сообщение от пох. (?), 20-Авг-20, 23:59 
> Заббикс- это эталон как не надо делать интерфейс. Настолько нелогичным его сделать-

он вполне логичен - "ничего не доделано и не будет", если ты имеешь в виду традиционную невозможность из графика попасть в определение айтима, из триггера в аларм, из настроек хоста - к уже собранным данным по именно этому же хосту, и так далее. То есть это не потому что не хотели, а потому что просто не дошли руки (в нескольких отдельных местах такая связь все же есть). Занятые порчей графиков, потому что "хотим как в grafana, и похрен что было удобнее".
Алогичны там разьве что настройки системы, где в одном и том же месте и "выбор темки оформления", и глобальные переменные, влияющие на абсолютно всю систему, причем догадаться что они скрыты за "темой оформления" не каждому дано.

> это надо постараться! Правда вроде в 5ой версии до них чета
> дошло и они начали двигаться в нормальную сторону.

нормальная была первая. Дальше им отчетливо не хватало разработчиков, прежде всего ядра, хотя и в интерфейсе непахано, но вместо решения этой проблемы они наняли разработчика-на-игого - и он уже переписал (они ж все переписыватели и ничего не писатели) агент - правда, только под линух, не совсем работающий, и нахрен не нужный - зато, вот, смотрите - на игого!

Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимость в интерфейсе мониторинга Icinga Web"  +/
Сообщение от del (??), 21-Авг-20, 10:22 
>[оверквотинг удален]
> всю систему, причем догадаться что они скрыты за "темой оформления" не
> каждому дано.
>> это надо постараться! Правда вроде в 5ой версии до них чета
>> дошло и они начали двигаться в нормальную сторону.
> нормальная была первая. Дальше им отчетливо не хватало разработчиков, прежде всего ядра,
> хотя и в интерфейсе непахано, но вместо решения этой проблемы они
> наняли разработчика-на-игого - и он уже переписал (они ж все переписыватели
> и ничего не писатели) агент - правда, только под линух, не
> совсем работающий, и нахрен не нужный - зато, вот, смотрите -
> на игого!

Я имею в в виду. Что заббикс это по сути куча несвязанных между собой систем, заправленных выпадающими списками (каким рукожопом надо быть, чтобы додуматься так сделать?!!) для выбора всего и вся (хосты, их интерфейсы, их графики и т.д.). Многие люди просто этого не видят, т.к. они поставили заббикс и не знают что может быть по другому. А я вижу, потому что изначально сидел на зенносе (с 2.5 до 4ки) и вот там то как раз интерфейс очень логичный.

Ответить | Правка | Наверх | Cообщить модератору

19. "Уязвимость в интерфейсе мониторинга Icinga Web"  –1 +/
Сообщение от пох. (?), 21-Авг-20, 11:35 
> Я имею в в виду. Что заббикс это по сути куча несвязанных между собой систем

это всего лишь - интерфейс. Чтобы их "связать", надо тупо взять и связать - понаделав кросслинков отовсюду всюду. Это работа, а работать там некому давным-давно.

Надо признать, что местами и временами кое-что все же связано, иногда по клику мыши открывается дополнительная менюшка, но тоже далеко не полная (типа посмотреть можно- в конфиг провалиться нельзя и т д)

Но в целом, если бы это был единственный недостаток - я бы особо и не переживал. В конце-концов, ты тоже можешь понаделать там линков, и прислать патч. Но там "всю систему менять надо".

В смысле, ядро ужасно чуть более чем совсем, концепция хранения истории в sql себя явно исчерпала, набор встроенных проверок не требующий костылескриптов никакой (и более чем странен) и так далее.

Взорвать и залить бетоном на три метра.

Ответить | Правка | Наверх | Cообщить модератору

34. "Уязвимость в интерфейсе мониторинга Icinga Web"  +/
Сообщение от D (?), 23-Авг-20, 00:23 
Не, в 5 стало даже хуже. Убрать страницу отдельного просмотра конкретного графика- это прямо выстрел в ногу!
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

11. "Уязвимость в интерфейсе мониторинга Icinga Web"  –6 +/
Сообщение от пох. (?), 20-Авг-20, 13:29 
> Мне казалось, что с 2014 года лучше коробочного мониторинга чем zabbix уже и нет.

ffffuck!

Тебе не казалось, но в этом нет решительно ничего хорошего.

P.S. напоминаю, основной бизнес-идеей жабикса теперь является вот это вот: https://www.zabbix.com/template_building_services

судя по тому что цена поднялась ВДВОЕ за последние пол-года - спрос ПОПЁЁЁР.

Угадай, какими мозгами снабжены те, кто за это платит.

А последнего программиста-на-сях они уволили в прошлом году.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

13. "Уязвимость в интерфейсе мониторинга Icinga Web"  +/
Сообщение от fske (?), 20-Авг-20, 14:16 
>Угадай, какими мозгами снабжены те, кто за это платит.

А какими мозгами снабжен ты, когда платишь за какаху под названием windows?

>А последнего программиста-на-сях они уволили в прошлом году.

Ты у них в отделе кадров работаешь, клоун ты стаканчик?

>основной бизнес-идеей жабикса теперь является

Только в твоём недалёком воображении

Ответить | Правка | Наверх | Cообщить модератору

20. "Уязвимость в интерфейсе мониторинга Icinga Web"  –4 +/
Сообщение от пох. (?), 21-Авг-20, 11:36 
> А какими мозгами снабжен ты, когда платишь за какаху под названием windows?

кто о чем, а секта свидетелей венд0капеца - о наболевшем

Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимость в интерфейсе мониторинга Icinga Web"  +/
Сообщение от YetAnotherOnanym (ok), 20-Авг-20, 08:49 
*Вздохнув* Ох уж эти двойные точки...
Ответить | Правка | Наверх | Cообщить модератору

14. "Уязвимость в интерфейсе мониторинга Icinga Web"  +/
Сообщение от Онаним (?), 20-Авг-20, 18:12 
Блджаааааааааад. Опяяяяяяять.
Ну сколько уже можно говорить, что пользовательский инпут надо валидировать всегда. Погромисты.
Ответить | Правка | Наверх | Cообщить модератору

21. "Уязвимость в интерфейсе мониторинга Icinga Web"  –1 +/
Сообщение от Andrew (??), 21-Авг-20, 12:31 
Новость вроде про уязвимость в Icinga Web, споры про интерфен Zabbix...так и тянет начать отдельную ветку холивара и предложить сравнить оба продукта с Check_Mk https://checkmk.com/
Ответить | Правка | Наверх | Cообщить модератору

22. "Уязвимость в интерфейсе мониторинга Icinga Web"  –1 +/
Сообщение от бублички (?), 21-Авг-20, 15:44 
а что тут сравнивать? яблоки с яблоками? твой checkmk как и Icinga - на каком-то этапе форки Nagios. и оба используют nagios-plugins для тестов
Ответить | Правка | Наверх | Cообщить модератору

23. "Уязвимость в интерфейсе мониторинга Icinga Web"  –5 +/
Сообщение от пох. (?), 21-Авг-20, 16:30 
> а что тут сравнивать? яблоки с яблоками?

эти яблоки - урожая 1812го года. Уксус из них был бы еще ничего может, а сами по себе засохли до состояния археологических артефактов - несъедобно, неинтересно и будущего лишено.

> твой checkmk как и Icinga - на каком-то этапе форки Nagios. и оба используют nagios-plugins для
> тестов

поэтому очень обожаемы админами локалхостов.

Имеет смысл сравнивать жабикс с (другими) коммерческими продуктами, но вот беда - посмотришь на эти коммерческие протухты, и подумаешь, что, в общем-то, жабикс не так уж отвратителен как казался.

Ответить | Правка | Наверх | Cообщить модератору

25. "Уязвимость в интерфейсе мониторинга Icinga Web"  +/
Сообщение от Andrew (??), 21-Авг-20, 23:32 
Просветите темного и несведущего админа локального хоста, чем же так интересен Zabbix и с какими коммерческими продуктами сравнивается.

В последнее время на интервью довольно часто слышу от джунов которые ещё даже до админов локального хоста не доросли истории о том как они героически поднимали Zabbix...только ни один не смог объяснить (или честно ответить) почему выбрали его, а не что-нибудь другое.

Предположим, на вопрос почему не мониторинг построенный на метриках - могу представить ряд вариантов ответов от обидных до вызывающих уважение пониманием целесообразности использования конкретных инструментов под конкретные цели и в конкретных ситуациях.

Почему не тот же Icinga Web (который и правда в одном ряду с Zabbix & Check_Mk) - уже любопытнее. Здесь бы ещё вернуться к комментариям выше и вообще непонятно, как и почему даже ещё не случившиеся админы локалхоста умудряются "с детства" подсесть на Zabbix.

Ну, а про коммерческие продукты - особенно интересно, поскольку все перечисленные продукты - в той или иной степени коммерческие и отличаются они только тем, каким образом и с каким успехом пытаются зарабатывать.

Видимо имелись в виду какие-то закрытые решения предоставляемые в виде черного ящика без возможности кастомизации под потребности и/или с возможностью её реализовать оплатив взнос равный двум-трем месяцам работы одного разработчика который реализует ранее отсутствовавший функционал за условные несколько дней принеся владельцам продукта 1000% дохода?

Ответить | Правка | Наверх | Cообщить модератору

28. "Уязвимость в интерфейсе мониторинга Icinga Web"  –1 +/
Сообщение от бублички (?), 22-Авг-20, 00:35 
да брось ты, нашёл с кем дискутировать. ему всегда мерещатся корпоративные продукты высочайшего качества, без дыр и заплат, вот только назвать ни один не может. потому что все они ему приснились и в момент пограничного состояния (между сном и явью) названия несуществующих продуктов забылись, но радостное ощущение чуда (и светлая вера в их действительное существование) остались. ведь любому изветсно (кроме пох) что и Zabbix и Nagios предлагают платные решения, вот только он про них не в курсе, т.к. читать про них ему некогда. ведь размазывать здесь многокилометровые бессмыссленные сопли под любой новостью тоже призвание не для каждого. у нормальных людей есть работа и увлечения
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру