Debian DLA-3390-1:zabbix - LTS 安全更新
high Nessus 插件 ID 174179
语言:
简介
远程 Debian 主机上缺少一个或多个与安全性相关的更新。描述
远程 Debian 10 主机上安装的程序包受到 dla-3390 公告中提及的多个漏洞影响。- Zabbix 4.4.0alpha1 及之前版本支持用户枚举。可以通过登录请求,根据服务器响应的可变性(例如,“登录名或密码不正确”和“无系统访问权限”消息,或仅阻止数秒)枚举应用程序用户名。
这会影响 api_jsonrpc.php 和 index.php。(CVE-2019-15132)
- 对于 Zabbix,在低于 3.0.32rc1 的版本、低于 4.0.22rc1 的 4.x 版、4.4.x 至 4.4.10rc1 之前的 4.1.x 版,以及 5.0.2rc1 之前的 5.x 版,攻击者可在 URL 小组件中存储 XSS。(CVE-2020-15803)
- 对于 Zabbix,在低于 4.0.28rc1 的 4.0.x 版、低于 5.0.10rc1 的 5.0.0alpha1 版、低于 5.2.6rc1 的 5.2.x 版,以及低于 5.4.0beta2 的 5.4.0alpha1 版中,CControllerAuthenticationUpdate 控制器缺少 CSRF 保护机制。此控制器内的代码调用 init() 方法内的 diableSIDValidation。攻击者无需知道 Zabbix 用户登录凭据,但必须知道正确的 Zabbix URL 和具有足够权限的现有用户的联系信息。(CVE-2021-27927)
- 经过身份验证的用户可以使用操作页面的反射型 XSS 负载创建链接,并将其发送给其他用户。恶意代码可以访问与网页其余部分相同的所有对象,并且可以对显示给受害者的页面内容进行任意修改。借助社交工程和多种因素可以实现此攻击:攻击者应具有对 Zabbix Frontend 的授权访问权限并允许恶意服务器和受害者计算机之间的网络连接,了解被攻击的基础架构,被受害者识别为受信任者并使用受信任的通信渠道。 (CVE-2022-24349)
- 经过身份验证的用户可以为服务的页面创建带有反射型 Javascript 代码的链接,并将其发送给其他用户。只有使用受害者的已知 CSRF 标记值才能执行有效负载,该值会定期更改且难以预测。恶意代码可以访问与网页其余部分相同的所有对象,并且可以在社交工程攻击期间,对显示给受害者的页面内容进行任意修改。(CVE-2022-24917)
- 经过身份验证的用户可以为图表的页面创建带有反射型 Javascript 代码的链接,并将其发送给其他用户。只有使用受害者的已知 CSRF 标记值才能执行有效负载,该值会定期更改且难以预测。恶意代码可以访问与网页其余部分相同的所有对象,并且可以在社交工程攻击期间,对显示给受害者的页面内容进行任意修改。(CVE-2022-24919)
- 经过身份验证的用户可以为图表的页面创建带有反射型 Javascript 代码的链接,并将其发送给其他用户。只有使用受害者的已知 CSRF 标记值才能执行有效负载,该值会定期更改且难以预测。(CVE-2022-35230)
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
升级 zabbix 程序包。对于 Debian 10 buster,已在版本 1 中修复这些问题
另见
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=935027
https://security-tracker.debian.org/tracker/source-package/zabbix
https://www.debian.org/lts/security/2023/dla-3390
https://security-tracker.debian.org/tracker/CVE-2019-15132
https://security-tracker.debian.org/tracker/CVE-2020-15803
https://security-tracker.debian.org/tracker/CVE-2021-27927
https://security-tracker.debian.org/tracker/CVE-2022-24349
https://security-tracker.debian.org/tracker/CVE-2022-24917
https://security-tracker.debian.org/tracker/CVE-2022-24919
插件详情
严重性: High
ID: 174179
文件名: debian_DLA-3390.nasl
版本: 1.1
类型: local
代理: unix
发布时间: 2023/4/12
最近更新时间: 2024/1/16
支持的传感器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 6.7
CVSS v2
风险因素: Medium
基本分数: 6.8
时间分数: 5
矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
CVSS 分数来源: CVE-2021-27927
CVSS v3
风险因素: High
基本分数: 8.8
时间分数: 7.7
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: p-cpe:/a:debian:debian_linux:zabbix-agent, p-cpe:/a:debian:debian_linux:zabbix-frontend-php, p-cpe:/a:debian:debian_linux:zabbix-java-gateway, p-cpe:/a:debian:debian_linux:zabbix-proxy-mysql, p-cpe:/a:debian:debian_linux:zabbix-proxy-pgsql, p-cpe:/a:debian:debian_linux:zabbix-proxy-sqlite3, p-cpe:/a:debian:debian_linux:zabbix-server-mysql, p-cpe:/a:debian:debian_linux:zabbix-server-pgsql, cpe:/o:debian:debian_linux:10.0
必需的 KB 项: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
易利用性: No known exploits are available
补丁发布日期: 2023/4/12
漏洞发布日期: 2019/8/17
参考资料信息
CVE: CVE-2019-15132, CVE-2020-15803, CVE-2021-27927, CVE-2022-24349, CVE-2022-24917, CVE-2022-24919, CVE-2022-35230