Z6尊龙凯时

首页 > 清静研究 > 清静转达 > 清静事务响应

ZABBIX SQL注入误差来袭，，，，，，Z6尊龙凯时提供解决计划

宣布时间 2024-05-23

Zabbix是一个基于WEB界面的企业级开源解决计划，，，，，，用于提供漫衍式系统监视和网络监视功效，，，，，，包管效劳器系统的清静运营，，，，，，便于系统治理员快速定位息争决保存的种种问题。。。。。

其主要由两个主要组件组成：Zabbix server和可选的Zabbix agent。。。。。其中，，，，，，Zabbix server能够通过SNMP、Zabbix agent、ping、端口监视等要领对远程效劳器和网络状态举行监视和数据网络，，，，，，可在Linux、Solaris、HP-UX、AIX、Free BSD、Open BSD、OS X等多种平台上运行。。。。。

误差详情

2024年5月21日，，，，，，Z6尊龙凯时金睛清静研究团队监控到Zabbix SQL注入误差（CVE-2024-22120）情报。。。。。该误差保存于audit.c的zbx_auditlog_global_script函数中，，，，，，由于clientip字段未经整理，，，，，，可能导致SQL时间盲注攻击。。。。。经由身份验证的攻击者可使用该误差从数据库中获取敏感信息，，，，，，并可将权限提升为治理员或远程执行代码。。。。。

Z6·尊龙凯时「中国区」官方网站

误差复现截图

Z6·尊龙凯时「中国区」官方网站

使用治理员session及key接受治理员账户

Z6·尊龙凯时「中国区」官方网站

举行cookie替换后刷新页面即可接受zabbix治理员

Z6·尊龙凯时「中国区」官方网站

Z6·尊龙凯时「中国区」官方网站

影响版本

6.0.0 <= Zabbix <= 6.0.27

6.4.0 <= Zabbix <= 6.4.12

7.0.0alpha1 <= Zabbix <= 7.0.0beta1

修复建议

1、官方修复计划

官方已宣布清静更新，，，，，，Zabbix团队宣布了补丁以解决版本6.0.28rc1、6.4.13rc1和7.0.0beta2中的误差。。。。。

地点：https://www.zabbix.com/download

2、Z6尊龙凯时计划

天阗入侵检测与治理系统、天阗超融合检测探针（CSP）、天阗威胁剖析一体机（TAR）、天清入侵防御系统（IPS）、天清Web应用清静网关（WAF）升级到20240523版本即可有用检测或防护该误差造成的攻击危害。。。。。

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? Z6尊龙凯时版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】