9
Zabbix - SQL injection vulnerability (CVE-2024-42327)
Zabbix informiert über eine kritische SQL-Injection Sicherheitslücke die sich bereits mit niedrigen Privilegien mit Zugriff über die API ausnutzen und über die sich das gesamte System übernehmen lässt.
Zitat:
SQL injection in user.get API (CVE-2024-42327)
Betroffen sind folgende Versionen
Die Schwachstelle wurde bereits im Sommer dieses Jahres gefixt durch die Versionen 6.0.32rc1, 6.4.17rc1 und 7.0.1rc1, die Lücke wurde aber erst jetzt veröffentlicht.
Zitat:
A non-admin user account on the Zabbix frontend with the default User role, or with any other role that gives API access can exploit this vulnerability. An SQLi exists in the CUser class in the addRelatedObjects function, this function is being called from the CUser.get function which is available for every user who has API access.
SQL injection in user.get API (CVE-2024-42327)
Betroffen sind folgende Versionen
- 6.0.0-6.0.31
- 6.4.0-6.4.16
- 7.0.0
Die Schwachstelle wurde bereits im Sommer dieses Jahres gefixt durch die Versionen 6.0.32rc1, 6.4.17rc1 und 7.0.1rc1, die Lücke wurde aber erst jetzt veröffentlicht.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 669932
Url: https://administrator.de/knowledge/zabbix-sql-injection-vulnerability-cve-2024-42327-669932.html
Ausgedruckt am: 05.01.2025 um 16:01 Uhr
9 Kommentare
Neuester Kommentar
Kann übrigens jedem der auf 6.x ist wärmstens empfehlen auf 7.0 zu wechseln.
Hab's vor ein paar Monaten gemacht und bin noch mehr von Zabbix begeistert als eh schon.
Hab's vor ein paar Monaten gemacht und bin noch mehr von Zabbix begeistert als eh schon.
Dito, 6099€ pro Jahr mit Zabbix eingespart, Tendenz weiter steigend.
https://shop.paessler.com/shop/paessler-prtg-network-monitor-213
https://shop.paessler.com/shop/paessler-prtg-network-monitor-213
2
@nachgefragt Hast du eigentlich gute Ressourcen/Anleitungen zu Zabbix?
Ich hatte es damit installiert: https://www.zabbix.com/download?zabbix=7.0&os_distribution=ubuntu
Dann den Agenten auf der Gegenseite installieren und schauen was noch zu individualisieren ist.
SNMP geht natürlich auch ohne Agent.
Dann den Agenten auf der Gegenseite installieren und schauen was noch zu individualisieren ist.
SNMP geht natürlich auch ohne Agent.
Schau dir auf YouTube mal Dmitry Lamberts Kanal an, der macht ganz gute Videos dazu!
Moin,
es geht hier um eine Sicherheitslücke von Zabbix. Nicht mehr, nicht weniger.
Klärt das via PM und/oder mit einem eigenen Beitrag. Eure Kommentare werde ich die Tage löschen.
Gruß,
Dani (Mod)
es geht hier um eine Sicherheitslücke von Zabbix. Nicht mehr, nicht weniger.
Klärt das via PM und/oder mit einem eigenen Beitrag. Eure Kommentare werde ich die Tage löschen.
Gruß,
Dani (Mod)
OFF TOPIC
Interessant oder Zensur?
Wenn es im Titel um ein bestimmtes Thema geht, in dem Fall Sicherheitslücken, konkret Sicherheitslücken in Zabbix , dann darf man nichts weiteres über Zabbix als Produkt kommentieren?
Wenn um solche Newstigger Meldungen geht nutze ich i.d.R.:
https://app.opencve.io/cve/?&cvss=critical
https://wid.cert-bund.de/portal/wid/kurzinformationen
...
da gibt es keine Kommentarfunktion, aber in einem Forum tausche ich mich gern aus.
Wenn also künftig ein Thema nicht 80-100% zum Titel passt, werden unsere Kommentare gelöscht?
Respekt, da habt ihr euch was vorgenommen!
Interessant oder Zensur?
Wenn es im Titel um ein bestimmtes Thema geht, in dem Fall Sicherheitslücken, konkret Sicherheitslücken in Zabbix , dann darf man nichts weiteres über Zabbix als Produkt kommentieren?
Wenn um solche Newstigger Meldungen geht nutze ich i.d.R.:
https://app.opencve.io/cve/?&cvss=critical
https://wid.cert-bund.de/portal/wid/kurzinformationen
...
da gibt es keine Kommentarfunktion, aber in einem Forum tausche ich mich gern aus.
Wenn also künftig ein Thema nicht 80-100% zum Titel passt, werden unsere Kommentare gelöscht?
Respekt, da habt ihr euch was vorgenommen!
1
Moin @nachgefragt,
Gruß,
Dani (Mod)
Wenn es im Titel um ein bestimmtes Thema geht, in dem Fall Sicherheitslücken, konkret Sicherheitslücken in Zabbix , dann darf man nichts weiteres über Zabbix als Produkt kommentieren?
Was hat PRTG mit Zabbix und der genannten Sicherheitslücke zu tun? Gerne darfst du mich sachlich davon überzeugen. Abgesehen davon, dass beides Monitoring Lösungen sind.Wenn es im Titel um ein bestimmtes Thema geht, in dem Fall Sicherheitslücken, konkret Sicherheitslücken in Zabbix , dann darf man nichts weiteres über Zabbix als Produkt kommentieren?
Das ist ja nicht das erste Mal, dass wir uns innerhalb der ersten drei Kommentaren direkt von eigentlichen Thema entfernen. Das muss nicht sein. Zumal niemand bei einer Suche deinen Erfahrung/Kommentar an Hand des Titels darin vermuten wird.OFF TOPIC
Interessant oder Zensur?
Es steht dir jederzeit frei einen eigenen Beitrag in Form von News/Information im jeweiligen Bereich, gerne auch Off Topic zu erstellen und eine Diskussion darüber zu führen. Da habe ich noch nie etwas dagegen gehabt und bin auch der Letzte der die Zensurkeule schwingt...Interessant oder Zensur?
Wenn also künftig ein Thema nicht 80-100% zum Titel passt, werden unsere Kommentare gelöscht?
Das OT in den Beiträgen hat in den letzten Monaten stark zugenommen. Das spiegelt das Querlesen der Beiträge, die jeden Tag kommentiert werden als auch mein PN Postfach wieder. Das wird sich auch nicht vermeiden lassen, weil es Aspekte/Themen gibt, die auch verknüpft sind und bleiben. Wir lassen meiner Ansicht nach viel, evtl. manchmal auch zu viel laufen. Du bist herzlich eingeladen dich als Moderator einzubringen.Gruß,
Dani (Mod)
1Zitat von @Dani:
Das ist ja nicht das erste Mal, dass wir uns innerhalb der ersten drei Kommentaren direkt von eigentlichen Thema entfernen.
Das ist leider die Regel, daher freue mich mich, wenn ihr das Thema angeht. Das würde allen Problemsuchenden sehr viel Zeit ersparen.Das ist ja nicht das erste Mal, dass wir uns innerhalb der ersten drei Kommentaren direkt von eigentlichen Thema entfernen.
PS: Wenn ihr den Button "Nicht hilfreich" endlich mal neben das Herz positioniert, dann, jeden Wetter, steigen auch die Klicks auf diesen Button. Diese Antworten könnte man dann ganz unten anhängen, automatisiert, z.B. wenn 51% der Kommentierenden den Beitrag im Post als nicht hilfreich markieren.
