Zabbix izleme aracında kritik bir güvenlik açığı keşfedildi. Saldırganlar, savunmasız örnekleri tamamen tehlikeye atmak için bunu kötüye kullanabilirler.
Duyuru
Açık kaynaklı yazılımın üreticisinin bir güvenlik notunda belirttiği gibi, standart kullanıcı rolüne veya API erişimine izin veren herhangi bir role sahip, yönetici olmayan kullanıcılar SQL enjeksiyon güvenlik açığından yararlanabilir. Boşluk ortada addRelatedObjects-İşlev CUser-Sınıf. Bu geliyor CUser.getişlev çağrısı, API erişimi olan tüm kullanıcılar tarafından kullanılabilir (CVE-2024-42327, CVSS 9.9“Risk”eleştirmen“).
İnternetten erişilebilen birçok Zabbix sunucusu
Qualys BT araştırmacıları, İnternetten erişilebilen 83.000'den fazla Zabbix örneğini bulmak için FOFA arama motorunu kullandı. 6.0.0-6.0.31, 6.4.0-6.4.16 ve 7.0.0 sürümleri savunmasızdır. Geliştiriciler açığı 6.0.32rc1, 6.4.17rc1 ve 7.0.1rc1 sürümleriyle kapatıyor. Ancak artık önemli ölçüde daha yeni sürümler mevcut; bunlar yukarıda belirtilen güvenlik açıklarını ve diğerlerini düzeltiyor, bu nedenle yöneticilerin bu yeni sürümlere güncelleme yapması gerekiyor.
Sürüm adaylarının tarihi bu yılın temmuz ayına kadar uzanıyor ancak güvenlik açığıyla ilgili bilgiler ancak şimdi yayınlandı. Yeni sürümler ayrıca ek güvenlik açıklarını da kapatıyor ve bazı hataları düzeltiyor.
Düzeltilen güvenlikle ilgili diğer hatalar şunları içerir:
Üretici, güvenlik açıklarının halihazırda kapatılıp kapatılmadığına dair herhangi bir bilgi vermiyor. Ancak hâlâ açık kaynaklı yazılımın eski sürümlerini kullanan herkesin en son sürümlere hızlı bir şekilde yükseltme yapması gerekir.
Zabbix'teki ciddi güvenlik açıkları Ağustos ortasında ortaya çıktı ve saldırganların parolaları düz metin olarak görüntülemesine veya kötü amaçlı kod yerleştirmesine olanak tanıdı. Programcılar başlangıçta bu boşlukları sürüm adaylarıyla doldurdular.
(Bilmiyorum)
Duyuru
Açık kaynaklı yazılımın üreticisinin bir güvenlik notunda belirttiği gibi, standart kullanıcı rolüne veya API erişimine izin veren herhangi bir role sahip, yönetici olmayan kullanıcılar SQL enjeksiyon güvenlik açığından yararlanabilir. Boşluk ortada addRelatedObjects-İşlev CUser-Sınıf. Bu geliyor CUser.getişlev çağrısı, API erişimi olan tüm kullanıcılar tarafından kullanılabilir (CVE-2024-42327, CVSS 9.9“Risk”eleştirmen“).
İnternetten erişilebilen birçok Zabbix sunucusu
Qualys BT araştırmacıları, İnternetten erişilebilen 83.000'den fazla Zabbix örneğini bulmak için FOFA arama motorunu kullandı. 6.0.0-6.0.31, 6.4.0-6.4.16 ve 7.0.0 sürümleri savunmasızdır. Geliştiriciler açığı 6.0.32rc1, 6.4.17rc1 ve 7.0.1rc1 sürümleriyle kapatıyor. Ancak artık önemli ölçüde daha yeni sürümler mevcut; bunlar yukarıda belirtilen güvenlik açıklarını ve diğerlerini düzeltiyor, bu nedenle yöneticilerin bu yeni sürümlere güncelleme yapması gerekiyor.
Sürüm adaylarının tarihi bu yılın temmuz ayına kadar uzanıyor ancak güvenlik açığıyla ilgili bilgiler ancak şimdi yayınlandı. Yeni sürümler ayrıca ek güvenlik açıklarını da kapatıyor ve bazı hataları düzeltiyor.
Düzeltilen güvenlikle ilgili diğer hatalar şunları içerir:
Üretici, güvenlik açıklarının halihazırda kapatılıp kapatılmadığına dair herhangi bir bilgi vermiyor. Ancak hâlâ açık kaynaklı yazılımın eski sürümlerini kullanan herkesin en son sürümlere hızlı bir şekilde yükseltme yapması gerekir.
Zabbix'teki ciddi güvenlik açıkları Ağustos ortasında ortaya çıktı ve saldırganların parolaları düz metin olarak görüntülemesine veya kötü amaçlı kod yerleştirmesine olanak tanıdı. Programcılar başlangıçta bu boşlukları sürüm adaylarıyla doldurdular.
(Bilmiyorum)