Zabbix, sempre attenta alla sicurezza delle proprie soluzioni, ha risolto 4 vulnerabilità presenti nelle versioni 4.0.37, 5.0.19, 5.4.9.
I quattro bug corretti:
- Gravità critica – Archiviazione della sessione lato client non sicura che porta al bypass dell’autenticazione / acquisizione dell’istanza tramite Zabbix Frontend con SAML configurato
- Gravità media – Possibile esecuzione di codice remoto in Zabbix Java Gateway con logback versione 1.2.7 e versioni precedenti. Si prega di essere consapevoli del fatto che non è la libreria log4j, i prodotti Zabbix NON sono INTERESSATI dall’exploit Log4j
- Gravità media – Possibile visualizzazione delle pagine di configurazione da parte di non super amministratori
- Gravità media – XSS memorizzato nella finestra di configurazione dei gruppi host nel frontend Zabbix
Si consiglia di correggere queste vulnerabilità applicando gli aggiornamenti elencati nella “Fixed Version“.
Come misura aggiuntiva, per i clienti che utilizzano Zabbix Java Gateway, si consiglia inoltre di controllare l’autorizzazione a /etc/zabbix/zabbix_java_gateway_logback.xml file e impostarlo in sola lettura (nel caso fossero disponibili autorizzazioni di scrittura per l’utente “zabbix”).
Versioni interessate dalle vulnerabilità
• Frontend Zabbix: 4.0.36; 5.0.18; 5.4.8
• Java Gateway Zabbix: 4.0.36; 5.0.18; 5.4.8
Versioni corrette
• Zabbix Frontend: 4.0.37; 5.0.19; 5.4.9
• Java Gateway Zabbix: 4.0.37; 5.0.19; 5.4.9
