.werks/6710

   1 Title: Limit crash reporting functionality to permitted users
   2 Level: 1
   3 Component: multisite
   4 Class: security
   5 Compatible: compat
   6 Edition: cre
   7 State: unknown
   8 Version: 1.6.0i1
   9 Date: 1537727939
  10
  11 The crash reporting functionality of the GUI, which shows a lot of detailed
  12 information about the internal state of the GUI, has been limited to be shown
  13 only to permitted users.
  14
  15 The crash report could be used by attackers to get internal information about
  16 the application state and secrets processed by the GUI.
  17
  18 All not permitted users will now only see a short message about the occurred
  19 crash. Some more information is written to <tt>var/log/web.log</tt>.
  20
  21 Only authenticated administrative users are allowed to see and submit crash
  22 reports by default.
  23
  24 If you like to give all your users the right to see and send crash reports give
  25 them the permission "See crash reports"
  26
  27 A problem with this change may be that some crashes occur only in very specific
  28 situations, for example for specific users. In such a case it may be hard to
  29 get detailed information about the situation when the crash reporting is not
  30 available. We plan to add an improved crash reporting in future versions to
  31 make all occurred crashes available to the Check_MK administrator for later
  32 debugging.
  33
  34 CMK-1037