Debian dla-3909:zabbix-agent - 安全更新
critical Nessus 插件 ID 208100
语言:
简介
远程 Debian 主机上缺少一个或多个与安全性相关的更新。描述
远程 Debian 11 主机上安装的多个程序包受到 dla-3909 公告中提及的多个漏洞影响。------------------------------------------------------------------------- Debian LTS 公告 DLA-3909-1 [email protected] https://www.debian.org/lts/security/Tobias Frost 2024 年 10 月 3 日 https://wiki.debian.org/LTS-------------------------------------------------------------------------
程序包:zabbix 版本:1:5.0.44+dfsg-1+deb11u1 CVE ID:CVE-2022-23132 CVE-2022-23133 CVE-2022-24349 CVE-2022-24917 CVE-2022-24918 CVE-2022-24919 CVE-2022-35229 CVE-2022-35230 CVE-2022-43515 CVE-2023-29449 CVE-2023-29450 CVE-2023-29454 CVE-2023-29455 CVE-2023-29456 CVE-2023-29457 CVE-2023-29458 CVE-2023-32721 CVE-2023-32722 CVE-2023-32724 CVE-2023-32726 CVE-2023-32727 CVE-2024-22114 CVE-2024-22116 CVE-2024-22119 CVE-2024-22122 CVE-2024-22123 CVE-2024-36460 CVE-2024-36461 Debian 错误:1014992 1014994 1026847 1053877 1055175 1078553
在网络监控解决方案 zabbix 中发现数个安全漏洞,可能造成 XSS、代码执行、信息泄露、远程代码执行、假冒或会话劫持等影响。
由于上传的版本为新的上游维护版本,因此该版本包含一些次要的新功能和行为变更。有关更多信息,请参阅下方内容。
CVE-2022-23132
在从 RPM 安装 Zabbix 期间,使用 DAC_OVERRIDE SELinux 功能访问 [/var/run/zabbix] 文件夹中的 PID 文件。在这种情况下,Zabbix Proxy 或 Server 进程可绕过文件系统级别的文件读取、写入和执行权限检查
CVE-2022-23133
经过身份验证的用户可通过具有 XSS 负载的配置创建主机组,以供其他用户使用。当经过身份验证的恶意攻击者发起存储型 XSS,并且其他用户在创建新主机期间尝试搜索群组时,将触发 XSS 负载,攻击者可以窃取会话 cookie 并执行会话劫持,以冒充用户或接管他们的帐户。
CVE-2022-24349
经过身份验证的用户可通过具有 XSS 负载的配置创建主机组,以供其他用户使用。当经过身份验证的恶意攻击者发起存储型 XSS,并且其他用户在创建新主机期间尝试搜索群组时,将触发 XSS 负载,攻击者可以窃取会话 cookie 并执行会话劫持,以冒充用户或接管他们的帐户。
CVE-2022-24917
经过身份验证的用户可以为服务的页面创建带有反射型 Javascript 代码的链接,并将其发送给其他用户。只有使用受害者的已知 CSRF 标记值才能执行有效负载,该值会定期更改且难以预测。恶意代码可以访问与网页其余部分相同的所有对象,并且可以在社交工程攻击期间,对显示给受害者的页面内容进行任意修改。
CVE-2022-24918
经过身份验证的用户可以为项目的页面创建带有反射型 Javascript 代码的链接,并将其发送给其他用户。只有使用受害者的已知 CSRF 标记值才能执行有效负载,该值会定期更改且难以预测。恶意代码可以访问与网页其余部分相同的所有对象,并且可以在社交工程攻击期间,对显示给受害者的页面内容进行任意修改。
CVE-2022-24919
经过身份验证的用户可以为图表的页面创建带有反射型 Javascript 代码的链接,并将其发送给其他用户。只有使用受害者的已知 CSRF 标记值才能执行有效负载,该值会定期更改且难以预测。恶意代码可以访问与网页其余部分相同的所有对象,并且可以在社交工程攻击期间,对显示给受害者的页面内容进行任意修改。
CVE-2022-35229
经过身份验证的用户可以为发现页面创建带有反射型 Javascript 代码的链接,并将其发送给其他用户。只有使用受害者的已知 CSRF 标记值才能执行有效负载,该值会定期更改且难以预测。
CVE-2022-35230
经过身份验证的用户可以为图表的页面创建带有反射型 Javascript 代码的链接,并将其发送给其他用户。只有使用受害者的已知 CSRF 标记值才能执行有效负载,该值会定期更改且难以预测。
CVE-2022-43515
Zabbix Frontend 提供一项功能,允许管理员维护安装并确保只有特定 IP 地址可以访问该安装。这样,在维护 Zabbix 前端期间,任何用户都无法访问该前端,并可以防止泄露可能的敏感数据。攻击者可以绕过此保护并使用未在定义的范围中列出的 IP 地址访问实例。
CVE-2023-29449
JavaScript 预处理、Webhook 和全局脚本可造成 CPU、内存和磁盘 I/O 使用不受控制。
预处理/Webhook/全局脚本配置和测试仅适用于管理角色(管理员和超级管理员)。通常,应将管理权限授予给需要对系统有更多控制权才能执行任务的用户。由于并非所有用户都拥有此级别的访问权限,因此存在的安全风险有限。
CVE-2023-29450
攻击者可使用 JavaScript 预处理来获得对 Zabbix 服务器或 Zabbix 代理上的文件系统的访问权限(代表用户 zabbix 的只读访问权限),从而可能导致对敏感数据进行未经授权的访问。
CVE-2023-29454
在“用户”部分的“媒体”选项卡的“发送至表单”字段中发现存储型或持久性跨站脚本 (XSS) 漏洞。利用“发送到”字段中包含的恶意代码创建新媒体后,新媒体将在编辑相同媒体时执行。
CVE-2023-29455
发现反射型 XSS 攻击(也称为非持久性攻击),其中攻击者可以将恶意代码作为 GET 请求传递到 graph.php,然后系统将会保存恶意代码并在打开当前图形页面时执行。
CVE-2023-29456
URL 验证方案接收用户的输入,然后对其进行解析以识别其各种组件。验证方案可确保所有 URL 组件都符合 Internet 标准。
CVE-2023-29457
发现反射型 XSS 攻击(也称为非持久性攻击),其中 XSS 会话 cookie 可能已泄露,导致攻击者可以冒充有效用户并滥用其私人帐户。
CVE-2023-29458
Duktape 是第三方可嵌入的 JavaScript 引擎,以可移植性和占用空间小为突出优势。在 valstack 中添加过多值时,JavaScript 会崩溃。之所以发生此问题,是因为我们使用的第三方解决方案 Duktape 2.6 中的错误所致。
CVE-2023-32721
如果在 URL 字段中的 URL 前设置空格,则在 Zabbix Web 应用程序的映射元素中会发现存储的 XSS。
CVE-2023-32722
通过 zbx_json_open 解析 JSON 文件时,zabbix/src/libs/zbxjson 模块易受缓冲区溢出影响。
CVE-2023-32724
内存指针在 Ducktape 对象的属性中。这会导致产生与直接内存访问和操纵有关的多个漏洞。
CVE-2023-32726
可能因读取 DNS 响应引起的缓冲区越界读取。
CVE-2023-32727
有权配置 Zabbix 项目的攻击者可以使用函数 icmpping(),在其中包含其他恶意命令,从而在当前 Zabbix 服务器上执行任意代码。
CVE-2024-22114
在任何主机上都无权限的用户可以通过全局视图仪表盘中的“系统信息”小组件,访问和查看主机计数及其他统计数据。
CVE-2024-22116
权限有限的管理员可利用“监控主机”部分中的脚本执行功能。由于缺少默认转义脚本参数,用户因而能够通过 Ping 脚本执行任意代码,从而破坏基础架构。
CVE-2024-22119
图表项目选择表单中的存储型 XSS
CVE-2024-22122
Zabbix 允许配置 SMS 通知。由于未在 Web 和 Zabbix 服务器端验证“数字”字段,Zabbix 服务器上发生 AT 命令注入。攻击者可提供特别构建的电话号码来运行 SMS 测试,并在调制解调器上执行其他 AT 命令。
CVE-2024-22123
设置 SMS 媒体允许设置 GSM 调制解调器文件。之后,此文件被用作 Linux 设备。但由于一切内容即可充当 Linux 的文件,因此可以设置其他文件(例如日志文件),并且 zabbix_server 将尝试作为调制解调器与之通信。因此,AT 命令将破坏日志文件,并将小部分日志文件内容泄漏给 UI。
CVE-2024-36460
前端审计日志允许查看以明文显示、未受保护的明文密码。
CVE-2024-36461
直接访问 JS 引擎内的内存指针以进行修改。
利用此漏洞,对单项配置拥有访问权限的用户(受限角色)可以通过远程代码执行,破坏监控解决方案的整个基础架构。
对于 Debian 11 bullseye,已在版本 1:5.0.44+dfsg-1+deb11u1 中修复这些问题。
建议您升级 zabbix 程序包。
如需了解 zabbix 的详细安全状态,请参阅其安全跟踪页面:
https://security-tracker.debian.org/tracker/zabbix
有关 Debian LTS 安全公告、如何将这些更新应用到系统以及常见问题解答的更多信息,请访问以下网址:https://wiki.debian.org/LTS
如上文所述,此版本是新的上游维护版本。
上游的升级说明列出了以下更改:
(与 Debian bullseye 无关的更改已忽略。)
5.0.11 的升级说明
VMware 事件收集器 - VMware 事件收集器的行为已变更,以修复内存过载问题。
5.0.31 的升级说明
改进了历史记录同步器的性能
引入了新的读写锁定,改进了历史记录同步器的性能。在访问配置缓存时,这可通过使用共享读取锁定来减少历史记录同步器、捕获器和代理轮询器之间的锁定。只有配置同步器执行配置缓存重新加载时,才能对新锁进行写入锁定。
5.0.32 的升级说明
引入了以下预处理过程中 JavaScript 对象的限制:
对于每次脚本执行,最多可以利用 Log() 方法记录 8 MB 的消息。
对于每次脚本执行,最多可对 10 个 CurlHttpRequest 对象进行初始化。使用 AddHeader() 方法,最多可将总长度为 128 KB 的标题字段添加到单个 CurlHttpRequest 对象中(包括特殊字符和标头名称)。
附件:
signature.asc 描述:PGP 签名
Tenable 已直接从 Debian 安全公告中提取上述描述块。
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
升级 zabbix-agent 程序包。另见
https://security-tracker.debian.org/tracker/source-package/zabbix
https://security-tracker.debian.org/tracker/CVE-2022-23132
https://security-tracker.debian.org/tracker/CVE-2022-23133
https://security-tracker.debian.org/tracker/CVE-2022-24349
https://security-tracker.debian.org/tracker/CVE-2022-24917
https://security-tracker.debian.org/tracker/CVE-2022-24918
https://security-tracker.debian.org/tracker/CVE-2022-24919
https://security-tracker.debian.org/tracker/CVE-2022-35229
https://security-tracker.debian.org/tracker/CVE-2022-35230
https://security-tracker.debian.org/tracker/CVE-2022-43515
https://security-tracker.debian.org/tracker/CVE-2023-29449
https://security-tracker.debian.org/tracker/CVE-2023-29450
https://security-tracker.debian.org/tracker/CVE-2023-29454
https://security-tracker.debian.org/tracker/CVE-2023-29455
https://security-tracker.debian.org/tracker/CVE-2023-29456
https://security-tracker.debian.org/tracker/CVE-2023-29457
https://security-tracker.debian.org/tracker/CVE-2023-29458
https://security-tracker.debian.org/tracker/CVE-2023-32721
https://security-tracker.debian.org/tracker/CVE-2023-32722
https://security-tracker.debian.org/tracker/CVE-2023-32724
https://security-tracker.debian.org/tracker/CVE-2023-32726
https://security-tracker.debian.org/tracker/CVE-2023-32727
https://security-tracker.debian.org/tracker/CVE-2024-22114
https://security-tracker.debian.org/tracker/CVE-2024-22116
https://security-tracker.debian.org/tracker/CVE-2024-22119
https://security-tracker.debian.org/tracker/CVE-2024-22122
https://security-tracker.debian.org/tracker/CVE-2024-22123
https://security-tracker.debian.org/tracker/CVE-2024-36460
插件详情
严重性: Critical
ID: 208100
文件名: debian_DLA-3909.nasl
版本: 1.1
类型: local
代理: unix
发布时间: 2024/10/3
最近更新时间: 2024/10/3
支持的传感器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 6.7
CVSS v2
风险因素: High
基本分数: 7.5
时间分数: 5.9
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS 分数来源: CVE-2022-23132
CVSS v3
风险因素: Critical
基本分数: 9.8
时间分数: 8.8
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
CVSS 分数来源: CVE-2022-43515
漏洞信息
CPE: p-cpe:/a:debian:debian_linux:zabbix-frontend-php, p-cpe:/a:debian:debian_linux:zabbix-proxy-sqlite3, cpe:/o:debian:debian_linux:11.0, p-cpe:/a:debian:debian_linux:zabbix-java-gateway, p-cpe:/a:debian:debian_linux:zabbix-agent, p-cpe:/a:debian:debian_linux:zabbix-server-mysql, p-cpe:/a:debian:debian_linux:zabbix-proxy-pgsql, p-cpe:/a:debian:debian_linux:zabbix-proxy-mysql, p-cpe:/a:debian:debian_linux:zabbix-server-pgsql
必需的 KB 项: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
可利用: true
易利用性: Exploits are available
补丁发布日期: 2024/10/3
漏洞发布日期: 2021/12/1
参考资料信息
CVE: CVE-2022-23132, CVE-2022-23133, CVE-2022-24349, CVE-2022-24917, CVE-2022-24918, CVE-2022-24919, CVE-2022-35229, CVE-2022-35230, CVE-2022-43515, CVE-2023-29449, CVE-2023-29450, CVE-2023-29454, CVE-2023-29455, CVE-2023-29456, CVE-2023-29457, CVE-2023-29458, CVE-2023-32721, CVE-2023-32722, CVE-2023-32724, CVE-2023-32726, CVE-2023-32727, CVE-2024-22114, CVE-2024-22116, CVE-2024-22119, CVE-2024-22122, CVE-2024-22123, CVE-2024-36460, CVE-2024-36461