ZABBIX SQL注入误差来袭 ,优发国际网站官网提供解决计划

宣布时间 2024-05-23

Zabbix是一个基于WEB界面的企业级开源解决计划 ,用于提供漫衍式系统监视和网络监视功效 ,包管服务器系统的清静运营 ,便于系统治理员快速定位息争决保存的种种问题。


其主要由两个主要组件组成:Zabbix server和可选的Zabbix agent。其中 ,Zabbix server能够通过SNMP、Zabbix agent、ping、端口监视等要领对远程服务器和网络状态举行监视和数据网络 ,可在Linux、Solaris、HP-UX、AIX、Free BSD、Open BSD、OS X等多种平台上运行。


误差详情


2024年5月21日 ,优发国际网站官网金睛清静研究团队监控到Zabbix SQL注入误差(CVE-2024-22120)情报。该误差保存于audit.c的zbx_auditlog_global_script函数中 ,由于clientip字段未经整理 ,可能导致SQL时间盲注攻击。经由身份验证的攻击者可使用该误差从数据库中获取敏感信息 ,并可将权限提升为治理员或远程执行代码。


优发国际·随优而动一触即发


误差复现截图


优发国际·随优而动一触即发


使用治理员session及key接受治理员账户


优发国际·随优而动一触即发


举行cookie替换后刷新页面即可接受zabbix治理员


优发国际·随优而动一触即发


优发国际·随优而动一触即发


影响版本


6.0.0 <= Zabbix <= 6.0.27

6.4.0 <= Zabbix <= 6.4.12

7.0.0alpha1 <= Zabbix <= 7.0.0beta1


修复建议


1、官方修复计划


官方已宣布清静更新 ,Zabbix团队宣布了补丁以解决版本6.0.28rc1、6.4.13rc1和7.0.0beta2中的误差。

地点:https://www.zabbix.com/download


2、优发国际网站官网计划


天阗入侵检测与治理系统、天阗超融合检测探针(CSP)、天阗威胁剖析一体机(TAR)、天清入侵防御系统(IPS)、天清Web应用清静网关(WAF)升级到20240523版本即可有用检测或防护该误差造成的攻击危害。