Zabbix, risoluzione vulnerabilità

Zabbix informa della risoluzione di alcune vulnerabilità legate alle versioni 4.0.36, 5.0.18, 5.4.8

Zabbix, sempre attenta alla sicurezza delle proprie soluzioni, ha risolto 4 vulnerabilità presenti nelle versioni 4.0.37, 5.0.19, 5.4.9.

I quattro bug corretti:

  1. Gravità critica – Archiviazione della sessione lato client non sicura che porta al bypass dell’autenticazione / acquisizione dell’istanza tramite Zabbix Frontend con SAML configurato
  2. Gravità media – Possibile esecuzione di codice remoto in Zabbix Java Gateway con logback versione 1.2.7 e versioni precedenti. Si prega di essere consapevoli del fatto che non è la libreria log4j, i prodotti Zabbix NON sono INTERESSATI dall’exploit Log4j
  3. Gravità media – Possibile visualizzazione delle pagine di configurazione da parte di non super amministratori
  4. Gravità media – XSS memorizzato nella finestra di configurazione dei gruppi host nel frontend Zabbix

Si consiglia di correggere queste vulnerabilità applicando gli aggiornamenti elencati nella “Fixed Version“.
Come misura aggiuntiva, per i clienti che utilizzano Zabbix Java Gateway, si consiglia inoltre di controllare l’autorizzazione a /etc/zabbix/zabbix_java_gateway_logback.xml file e impostarlo in sola lettura (nel caso fossero disponibili autorizzazioni di scrittura per l’utente “zabbix”).

Versioni interessate dalle vulnerabilità
• Frontend Zabbix: 4.0.36; 5.0.18; 5.4.8
• Java Gateway Zabbix: 4.0.36; 5.0.18; 5.4.8

Versioni corrette
• Zabbix Frontend: 4.0.37; 5.0.19; 5.4.9
• Java Gateway Zabbix: 4.0.37; 5.0.19; 5.4.9

In primo piano