Security Release Icinga 2 v2.16.2, 2.15.4, 2.14.9

30 Juni, 2026

Dirk Wening
Dirk Wening
Technical Writer

Dirk arbeitet seit Januar 2025 bei NETWAYS als Junior Consultant im Zuge seiner Umschulung zum Fachinformatiker für Systemintegration. Aktuell arbeitet er in der Abteilung  NETWAYS Professional Services und strebt nach seiner Umschulung eine Übernahme zum Consulting-Team an. In seiner Freizeit unternimmt er sehr viel mit seiner Tochter oder spielt American Football.

von | Juni 30, 2026

Das heutige Sicherheitsupdate für Icinga2 schließt mehrere Sicherheitslücken. Zwei davon sind besonders kritisch. Ein Update ist zwingend notwendig. Ein nicht authentifizierter Angreifer kann damit Icinga 2 Prozesse über das Netzwerk übernehmen oder zum Absturz bringen. Die weiteren Updates betreffen nur authentifizierte API-Nutzer. Was genau betroffen ist, wie hoch das Risiko für dein Setup ist und wie du in wenigen Minuten aktualisierst, erfährst du hier.

Die Schwachstellen im Detail

GHSA-vj39-ww8j-vvx5 (CVE ausstehend)

Der Code zur Verarbeitung von JSON-RPC-Nachrichten für Zertifikatsupdates war fehlerhaft und hat den Absender der Nachricht nicht korrekt validiert. Dadurch war es nicht authentifizierten Angreifern möglich, die Verbindung zu Icinga2 zu nutzen, um sowohl das eigene Zertifikat als auch das vertrauenswürdige CA-Zertifikat zu aktualisieren. Durch die Aktualisierung der vertrauenswürdigen CA kann sich ein Angreifer als vertrauenswürdiger Knoten ausgeben und so die Kontrolle über den Knoten übernehmen.

GHSA-wh38-wg57-5w7g (CVE ausstehend)

Ein Angreifer kann durch das Senden von manipuliertem JSON einen Stack Overflow in Icinga 2 auslösen. Der betroffene Code ist auch für nicht authentifizierte Clients erreichbar und kann genutzt werden, um den Icinga-2-Prozess zum Absturz zu bringen. Da es sich um einen Stack Overflow handelt, kann eine mögliche Code-Ausführung nicht ausgeschlossen werden, konnte bisher jedoch nicht nachgewiesen werden.

GHSA-jgqj-x5j9-vgcm (CVE ausstehend)

Beim Erstellen von Konfigurationsobjekten über den API-Endpunkt /v1/objects wurden die Vorlagennamen ohne ordnungsgemäße Bereinigung in die resultierende Icinga-2-Konfiguration übertragen. Somit konnten API-User, die über eine Berechtigung zum Erstellen von Konfigurationen verfügen, beliebige Konfigurationsinhalte einschleusen und sich dadurch erhöhte Rechte verschaffen.

Wir haben CVE Nummern für die GHSA angefordert und werden diese nach der Zuweisung hier nachgetragen.

Zusätzliche Korrekturen im Release

  • Ein Fehler wurde behoben, bei dem /v1/config/files im Falle von Datei-E/A-Fehlern nicht initialisierten Speicher senden konnte.
  • Windows: Aktualisiere das gebündelte OpenSSL auf v3.5.7 für Icinga 2 v2.16.2 und v3.0.21 für Icinga 2 v2.15.4 und v2.14.9
  • Zusätzlich wird eine neue Berechtigung namens filter-expression eingeführt. Diese legt fest ob einzelne API-User DSL Filterausdrücke in API Anfragen verwenden dürfen. Das erlaubt es API-Usern, die diese Funktion nicht benötigen, weiter einzuschränken – zum Beispiel solche, die nur einzelne Check Ergebnisse übermitteln. Da diese Änderung nicht abwärtskompatibel ist wird die Berechtigung bis v2.17 nur optional erzwungen.

Details dazu finden sich in der Upgrade Dokumentation.

Patches

Die Probleme wurden in den folgenden Versionen behandelt:

  • v2.16.2
  • v2.15.4
  • v2.14.9

Den Quellcode für die neuen Versionen findest du im Icinga 2 Git-Repository. Aktualisierte Binärpakete sind verfügbar auf packages.icinga.com und das Icinga für Windows-Repository. Aktualisierte Containerbilder sind verfügbar auf Docker Hub.

Danksagung

Ein besonderer Dank gilt TristanInSec und de3erve-hunter! Während das Team von Icinga an dem Release arbeitete, machten unabhängig von einander auf das Problem GHSA-jgqj-x5j9-vgcm aufmerksam.

Wie hat Dir unser Artikel gefallen?