Im Monitoring-Tool Zabbix wurde eine kritische Sicherheitslücke entdeckt. Angreifer können sie missbrauchen, um verwundbare Instanzen vollständig zu kompromittieren.
Anzeige
Wie der Hersteller der Open-Source-Software in einer Sicherheitsmitteilung angibt, können nicht-administrative Nutzerinnen und Nutzer mit der Standard-Nutzerrolle oder jeder anderen Rolle, die API-Zugriff ermöglicht, die SQL-Injection-Lücke ausnutzen. Die Lücke befindet sich in der addRelatedObjects-Funktion in der CUser-Klasse. Diese wird von der CUser.get-Funktion aufgerufen, auf die für jeden Nutzer mit API-Zugriff bereitsteht (CVE-2024-42327, CVSS 9.9, Risiko "kritisch").
Die IT-Forscher von Qualys haben mit der FOFA-Suchmaschine mehr als 83.000 aus dem Internet erreichbare Zabbix-Instanzen gefunden. Verwundbar sind die Versionen 6.0.0-6.0.31, 6.4.0-6.4.16 und 7.0.0. Die Entwickler schließen die Lücke mit den Versionen 6.0.32rc1, 6.4.17rc1 und 7.0.1rc1. Inzwischen sind jedoch deutlich neuere Fassungen verfügbar – diese bessern die genannte und weitere Schwachstellen aus, sodass Admins auf diese neueren Versionen aktualisieren sollten.
Die Release-Candidates stammen bereits aus dem Juli dieses Jahres, Informationen zu der Schwachstelle wurden jedoch erst jetzt veröffentlicht. Die neuen Versionen dichten zudem weitere Sicherheitslecks ab und korrigieren einige Fehler.
Zu den weiteren korrigierten sicherheitsrelevanten Fehlern gehören folgende:
Authentication privilege escalation via user groups due to missing authorization checks (CVE-2024-36467, CVSS 7.5, hoch)JS - "atob" function allows to create private strings (CVE-2024-36463, CVSS 6.5, mittel)sysmapelementurlid causes the map element (url) feature crash (CVE-2024-22117, CVSS 2.2, niedrig)Anzeige
Dazu, ob die Sicherheitslücken bereits angegriffen werden, macht der Hersteller keine Angaben. Wer noch ältere Fassungen der Open-Source-Software einsetzt, sollte jedoch rasch auf die neueren Stände aktualisieren.
Mitte August wurden kritische Sicherheitslücken in Zabbix bekannt, durch die Angreifer etwa Passwörter im Klartext einsehen oder Schadcode einschleusen konnten. Auch diese Lücken haben die Programmierer zunächst mit Release-Candidates geschlossen.
(