概要
セキュリティやパフォーマンス向上を目的としてサーバを監視するツールのZabbixをインストールしているサーバにおいて脆弱性が発見されました。
CUserクラス の addRelatedObjects関数 における脆弱性により、
デフォルトのユーザー権限またはAPIアクセスを持つ攻撃者が任意のSQL文を実行できるようになります。
これにより、承認されていない情報へのアクセス等が可能になります。
対象
Zabbixサーバ
影響範囲
影響を受けるバージョン:
- 6.0.0 ~ 6.0.31
- 6.4.0 ~ 6.4.16
- 7.0.0
影響を受けないバージョン:
- Zabbix >= 6.0.32rc1
- Zabbix >= 6.4.17rc1
- Zabbix >= 7.0.1rc1
対策
公式アップグレード。Zabbixのバージョンを最新のものにアップグレードする。
https://www.zabbix.com/download
参照
https://support.zabbix.com/plugins/servlet/mobile#issue/ZBX-25623