关键漏洞信息 漏洞描述 问题: Icinga 2 的 脚本和 logrotate 配置文件基于由守护进程用户编写的 PID 文件向进程发送信号,但以 root 用户身份发送信号。 影响: 这允许 Icinga 用户向通常不允许其发送信号的进程发送信号。 影响版本 受影响版本: <=2.15.0 修复版本: 2.15.1, 2.14.7, 2.13.13 严重性 CVSS v4 基础指标: - 攻击向量: 本地 - 攻击复杂度: 低 - 攻击需求: 存在 - 所需权限: 高 - 用户交互: 无 脆弱系统影响指标: - 机密性: 无 - 完整性: 无 - 可用性: 无 后续系统影响指标: - 机密性: 无 - 完整性: 无 - 可用性: 高 CVE ID: CVE-2025-61909 弱点: CWE-250 修复措施 补丁: 已包含在 Icinga 2 版本 2.15.1、2.14.7 和 2.13.13 中。 警告: logrotate 配置文件的修复位于 文件中。如果该文件被本地修改,则可能不会自动更新。升级后需要手动检查并合并更改。 解决方案 变通方法: 两个问题都源于从 shell 脚本或配置文件中调用 二进制文件。这些可以更改而无需升级 Icinga 2 包,以暂时禁用这些操作(以牺牲功能为代价)。 参考资料 安全发布公告 源代码补丁: 51ec73c 原始报告: #10527