LSE discovers vulnerability in Check_MK agent

While conducting a penetration test LSE security experts Markus Vervier and Sascha Kettler discovered that the Check_MK agent processes files from a directory with mode 1777.

A local user may access file contents he normally would not have access to.

Affected Versions

Check_MK agent for Linux since Git commit 7e9088c09963cb2e76030e8b645607692ec56011 until Release v1.2.5i2p1

Read more in the corresponding Security Advisory

LSE deckt Schwachstelle in Check_MK Agent auf

Während eines Penetrationstests entdeckten die LSE Sicherheitsexperten Markus Vervier und Sascha Kettler, dass der Check_MK Agent Dateien in einem Verzeichnis, auf welches die Berechtigung 1777 gesetzt ist, ausliest.

Ein lokaler Benutzer könnte so Inhalte von Dateien erlangen, auf die er normalerweise keinen Zugriff hätte.

Betroffene Versionen

Check_MK Agent unter Linux ab Git Commit 7e9088c09963cb2e76030e8b645607692ec56011 bis Version v1.2.5i2p1

Weitere Informationen können Sie dem von LSE bereitgestellten Security-Advisory entnehmen.

LinOTP 2.7 available

What is new in 2.7 – an important Milestone

With this release LSE LinOTP will be made available by LSE, Leading Security Experts GmbH, as an open source solution with all current features of version 2.6.1 included. LinOTP 2.7 is licensed under the AGPLv3 and GPLv2. With this milestone the currently-separate community edition [http://www.linotp.org] and enterprise edition [http://www.lsexperts.de] were merged.

LinOTP 2.7 verfügbar

Was ist neu in 2.7 – ein wichtiger Meilenstein

Mit der Version 2.7 sind sämtliche Funktionen der Version 2.6.1 Open Source, unter der AGPLv3/GPLv2. Wurde zwischen der Community Edition und der Enterprise Edition unterschieden, so wurden mit Version 2.7 beide Editionen zusammengeführt und als Open Source bereitgestellt.