Comretix Blog

Wir bieten aktuelle Informationen über uns und aus der IT Welt.
Categories
Tags
Authors
Teams
Archives
Categories:   All Categories
Suggested keywords
x
  Drucken

Monitoring-Tool Zabbix: Kritische Lücke ermöglicht Kontrollübernahme

395 Aufrufe

Im Monitoring-Tool Zabbix wurde eine kritische Sicherheitslücke entdeckt. Angreifer können sie missbrauchen, um verwundbare Instanzen vollständig zu kompromittieren.

Anzeige

Wie der Hersteller der Open-Source-Software in einer Sicherheitsmitteilung angibt, können nicht-administrative Nutzerinnen und Nutzer mit der Standard-Nutzerrolle oder jeder anderen Rolle, die API-Zugriff ermöglicht, die SQL-Injection-Lücke ausnutzen. Die Lücke befindet sich in der addRelatedObjects-Funktion in der CUser-Klasse. Diese wird von der CUser.get-Funktion aufgerufen, auf die für jeden Nutzer mit API-Zugriff bereitsteht (CVE-2024-42327, CVSS 9.9, Risiko "kritisch").

Die IT-Forscher von Qualys haben mit der FOFA-Suchmaschine mehr als 83.000 aus dem Internet erreichbare Zabbix-Instanzen gefunden. Verwundbar sind die Versionen 6.0.0-6.0.31, 6.4.0-6.4.16 und 7.0.0. Die Entwickler schließen die Lücke mit den Versionen 6.0.32rc1, 6.4.17rc1 und 7.0.1rc1. Inzwischen sind jedoch deutlich neuere Fassungen verfügbar – diese bessern die genannte und weitere Schwachstellen aus, sodass Admins auf diese neueren Versionen aktualisieren sollten.

Die Release-Candidates stammen bereits aus dem Juli dieses Jahres, Informationen zu der Schwachstelle wurden jedoch erst jetzt veröffentlicht. Die neuen Versionen dichten zudem weitere Sicherheitslecks ab und korrigieren einige Fehler.

Zu den weiteren korrigierten sicherheitsrelevanten Fehlern gehören folgende:

Authentication privilege escalation via user groups due to missing authorization checks (CVE-2024-36467, CVSS 7.5, hoch)JS - "atob" function allows to create private strings (CVE-2024-36463, CVSS 6.5, mittel)sysmapelementurlid causes the map element (url) feature crash (CVE-2024-22117, CVSS 2.2, niedrig)

Anzeige

Dazu, ob die Sicherheitslücken bereits angegriffen werden, macht der Hersteller keine Angaben. Wer noch ältere Fassungen der Open-Source-Software einsetzt, sollte jedoch rasch auf die neueren Stände aktualisieren.

Mitte August wurden kritische Sicherheitslücken in Zabbix bekannt, durch die Angreifer etwa Passwörter im Klartext einsehen oder Schadcode einschleusen konnten. Auch diese Lücken haben die Programmierer zunächst mit Release-Candidates geschlossen.

Jetzt heise Security Pro entdecken

Jetzt heise Security Pro entdecken

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

(Ursprünglich geschrieben von Dirk Knop)
0
×
Stay Informed

When you subscribe to the blog, we will send you an e-mail when there are new updates on the site so you wouldn't miss them.

heise-Angebot: iX-Workshop: IT-Sicherheit nach ISO...
Medion: Webseite und mehr derzeit nicht erreichbar

Über den Autor

comadmin

comadmin

Updates abonnieren Abo von Updates dieses Autors beenden comadmin
Neueste Beiträge des Autors
Mehr Beiträge vom Autor
 

Kommentare

Derzeit gibt es keine Kommentare. Schreibe den ersten Kommentar!
Bereits registriert? Hier einloggen
Sonntag, 02. November 2025

Die Comretix GmbH ist ein IT Systemhaus aus Tuttlingen. Seit über 30 Jahren betreuen wir unsere Kunden in Baden-Württemberg, der Schweiz und im gesamten Bundesgebiet mit Leidenschaft, Fairness und Loyalität. Wir bauen auf eine zuverlässige Partnerschaft mit unseren Lieferanten und Kunden. Unseren Mitarbeitern stehen wir auf Augenhöhe gegenüber.

Comretix GmbH Logo
ImpressumAGBDisclaimerDatenschutzerklärung