.werks/6788

   1 Title: Notification spooler: Fixed deserialization of arbitrary input
   2 Level: 2
   3 Component: notifications
   4 Class: security
   5 Compatible: incomp
   6 Edition: cee
   7 State: unknown
   8 Version: 1.6.0i1
   9 Date: 1539862587
  10
  11 The notification daemon of one site connects to the notification daemon of
  12 another site to exchange notifications between both sites.
  13
  14 The messages that are sent between the notification daemons were encoded in an
  15 insecure format which allowed code injections between the communication
  16 partners. This means it was possible to inject code from one notification
  17 spooler to another.
  18
  19 We have now changed the message format to a secure alternative which prevents
  20 code injections.
  21
  22 To be able to perform this transition without loosing notifications and
  23 preventing subtile incompatibilities we decided to keep the new format disabled
  24 by default for all sites created with Check_MK 1.4 and 1.5. This means your
  25 installation will still be affected by this issue by default after updating.
  26
  27 However, once you have updated all your sites to at least 1.4.0p37 in case of
  28 the 1.4.0 branch or or at least 1.5.0p7 in case of the 1.5.0 branch you can
  29 change the main configuration option "Notification Spooler insecure messages"
  30 to "off" and activate the new configuration. Once you have done this all
  31 notification spoolers will use the new secure message format.
  32
  33 Please note that the 1.6 notification spoolers will always use the new message
  34 format and not be compatible to the old message format of the 1.5 notification
  35 spoolers anymore. If you plan to use 1.5 and 1.6 together during migration you
  36 will have to ensure that you use the new message format in your 1.5 sites.