Zabbix 曝 SQL 注入漏洞

  • 来源:深信服安全中心
  • 发布时间:2016-08-25
#

事件描述

    2016年8月12日,1n3通过邮件披露了Zabbix软件的jsrpc.php文件在处理profileIdx2参数时存在insert方式的SQL注入漏洞,与官方通告的latest.php文件在处理toggle_ids参数时存在insert方式的SQL注入漏洞属于同一类型的漏洞,只是攻击的位置不同。

    攻击者无需授权登陆即可登陆zabbix管理系统,也可通过script等功能轻易直接获取zabbix服务器的操作系统权限。 但是无需登录注入这里有个前提,就是zabbix开启了guest权限。而在zabbix中,guest的默认密码为空。需要有这个条件的支持才可以进行无权限注入。。

    zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案,能监视各种网络参数,保证服务器系统的安全运营;并提供灵活的通知机制以让系统管理员快速定位/解决存在的各种问题。由zabbix server与可选组件zabbix agent构成。可以通过SNMP,zabbix agent,ping,端口监视等方法提供对远程服务器/网络状态的监视,数据收集等功能,它可以运行在Linux,Solaris,HP-UX,AIX,Free BSD,Open BSD,OS X等平台上。

    影响范围:2.2.x, 3.0.0-3.0.3

    漏洞详情:Zabbix SQL注入漏洞

解决方案

1、尽快升级到最新版,3.0.4版本已经修补该漏洞。

2、购买下一代防火墙的用户请升级IPS版本库到20160822以上版本,可轻松防御针对该漏洞的攻击。