此篇文章发布距今已超过311天,您需要注意文章的内容或图片是否可用!
Zabbix是一个基于WEB界面的企业级开源解决方案,用于提供分布式系统监视和网络监视功能,保证服务器系统的安全运营,便于系统管理员快速定位和解决存在的各种问题。其主要由两个主要组件构成:Zabbix server和可选的Zabbix agent。其中,Zabbix server能够通过SNMP、Zabbix agent、ping、端口监视等方法对远程服务器和网络状态进行监视和数据收集,可在Linux、Solaris、HP-UX、AIX、Free BSD、Open BSD、OS X等多种平台上运行。2024年5月21日,启明星辰金睛安全研究团队监控到Zabbix SQL注入漏洞(CVE-2024-22120)情报。该漏洞存在于audit.c的zbx_auditlog_global_script函数中,由于clientip字段未经清理,可能导致SQL时间盲注攻击。经过身份验证的攻击者可利用该漏洞从数据库中获取敏感信息,并可将权限提升为管理员或远程执行代码。6.0.0 <= Zabbix <= 6.0.27
6.4.0 <= Zabbix <= 6.4.12
7.0.0alpha1 <= Zabbix <= 7.0.0beta1
1、官方修复方案
官方已发布安全更新,Zabbix团队发布了补丁以解决版本6.0.28rc1、6.4.13rc1和7.0.0beta2中的漏洞。
地址:https://www.zabbix.com/download
2、启明星辰方案
天阗入侵检测与管理系统、天阗超融合检测探针(CSP)、天阗威胁分析一体机(TAR)、天清入侵防御系统(IPS)、天清Web应用安全网关(WAF)升级到20240523版本即可有效检测或防护该漏洞造成的攻击风险。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
ZhouSa.com-宙飒天下网
还没有评论,来说两句吧...