7
Zabbix - SQL injection vulnerability (CVE-2024-42327)
Zabbix informiert über eine kritische SQL-Injection Sicherheitslücke die sich bereits mit niedrigen Privilegien mit Zugriff über die API ausnutzen und über die sich das gesamte System übernehmen lässt.
Zitat:
SQL injection in user.get API (CVE-2024-42327)
Betroffen sind folgende Versionen
Die Schwachstelle wurde bereits im Sommer dieses Jahres gefixt durch die Versionen 6.0.32rc1, 6.4.17rc1 und 7.0.1rc1, die Lücke wurde aber erst jetzt veröffentlicht.
Zitat:
A non-admin user account on the Zabbix frontend with the default User role, or with any other role that gives API access can exploit this vulnerability. An SQLi exists in the CUser class in the addRelatedObjects function, this function is being called from the CUser.get function which is available for every user who has API access.
SQL injection in user.get API (CVE-2024-42327)
Betroffen sind folgende Versionen
- 6.0.0-6.0.31
- 6.4.0-6.4.16
- 7.0.0
Die Schwachstelle wurde bereits im Sommer dieses Jahres gefixt durch die Versionen 6.0.32rc1, 6.4.17rc1 und 7.0.1rc1, die Lücke wurde aber erst jetzt veröffentlicht.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 669932
Url: https://administrator.de/contentid/669932
Ausgedruckt am: 04.12.2024 um 08:12 Uhr
7 Kommentare
Neuester Kommentar
Kann übrigens jedem der auf 6.x ist wärmstens empfehlen auf 7.0 zu wechseln.
Hab's vor ein paar Monaten gemacht und bin noch mehr von Zabbix begeistert als eh schon.
Hab's vor ein paar Monaten gemacht und bin noch mehr von Zabbix begeistert als eh schon.
Dito, 6099€ pro Jahr mit Zabbix eingespart, Tendenz weiter steigend.
https://shop.paessler.com/shop/paessler-prtg-network-monitor-213
https://shop.paessler.com/shop/paessler-prtg-network-monitor-213
1
@nachgefragt Hast du eigentlich gute Ressourcen/Anleitungen zu Zabbix?
Ich hatte es damit installiert: https://www.zabbix.com/download?zabbix=7.0&os_distribution=ubuntu
Dann den Agenten auf der Gegenseite installieren und schauen was noch zu individualisieren ist.
SNMP geht natürlich auch ohne Agent.
Dann den Agenten auf der Gegenseite installieren und schauen was noch zu individualisieren ist.
SNMP geht natürlich auch ohne Agent.
Schau dir auf YouTube mal Dmitry Lamberts Kanal an, der macht ganz gute Videos dazu!
Moin,
es geht hier um eine Sicherheitslücke von Zabbix. Nicht mehr, nicht weniger.
Klärt das via PM und/oder mit einem eigenen Beitrag. Eure Kommentare werde ich die Tage löschen.
Gruß,
Dani (Mod)
es geht hier um eine Sicherheitslücke von Zabbix. Nicht mehr, nicht weniger.
Klärt das via PM und/oder mit einem eigenen Beitrag. Eure Kommentare werde ich die Tage löschen.
Gruß,
Dani (Mod)
OFF TOPIC
Interessant oder Zensur?
Wenn es im Titel um ein bestimmtes Thema geht, in dem Fall Sicherheitslücken, konkret Sicherheitslücken in Zabbix , dann darf man nichts weiteres über Zabbix als Produkt kommentieren?
Wenn um solche Newstigger Meldungen geht nutze ich i.d.R.:
https://app.opencve.io/cve/?&cvss=critical
https://wid.cert-bund.de/portal/wid/kurzinformationen
...
da gibt es keine Kommentarfunktion, aber in einem Forum tausche ich mich gern aus.
Wenn also künftig ein Thema nicht 80-100% zum Titel passt, werden unsere Kommentare gelöscht?
Respekt, da habt ihr euch was vorgenommen!
Interessant oder Zensur?
Wenn es im Titel um ein bestimmtes Thema geht, in dem Fall Sicherheitslücken, konkret Sicherheitslücken in Zabbix , dann darf man nichts weiteres über Zabbix als Produkt kommentieren?
Wenn um solche Newstigger Meldungen geht nutze ich i.d.R.:
https://app.opencve.io/cve/?&cvss=critical
https://wid.cert-bund.de/portal/wid/kurzinformationen
...
da gibt es keine Kommentarfunktion, aber in einem Forum tausche ich mich gern aus.
Wenn also künftig ein Thema nicht 80-100% zum Titel passt, werden unsere Kommentare gelöscht?
Respekt, da habt ihr euch was vorgenommen!
