Errata ALT-PU-2024-4325-1: Информация
Исправления
Опубликовано: 18 декабря 2023 г.
BDU:2023-09066
Уязвимость файла cookie zbx_session универсальной системы мониторинга Zabbix, позволяющая нарушителю повысить свои привилегии
Важность: CRITICAL (9,6) Вектор: AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Ссылки:
Опубликовано: 18 декабря 2023 г.
BDU:2024-00033
Уязвимость функции icmpping универсальной системы мониторинга Zabbix, позволяющая нарушителю выполнить произвольный код
Важность: HIGH (7,2) Вектор: AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Ссылки:
Опубликовано: 18 декабря 2023 г.
BDU:2024-00645
Уязвимость компонента DNS Response Handler агента универсальной системы мониторинга Zabbix, позволяющая нарушителю вызвать переполнение буфера
Важность: HIGH (8,1) Вектор: AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
Ссылки:
Опубликовано: 18 декабря 2023 г.
Изменено: 22 декабря 2023 г.
Изменено: 22 декабря 2023 г.
CVE-2023-32725
The website configured in the URL widget will receive a session cookie when testing or executing scheduled reports. The received session cookie can then be used to access the frontend as the particular user.
Важность: HIGH (8,8) Вектор: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Ссылки:
Опубликовано: 18 декабря 2023 г.
Изменено: 25 января 2024 г.
Изменено: 25 января 2024 г.
CVE-2023-32726
The vulnerability is caused by improper check for check if RDLENGTH does not overflow the buffer in response from DNS server.
Важность: HIGH (8,1) Вектор: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
Ссылки:
- https://support.zabbix.com/browse/ZBX-23855
- https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/UMFKNV5E4LG2DIZNPRWQ2ENH75H6UEQT/
- https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/BYSYLA7VTHR25CBLYO5ZLEJFGU7HTHQB/
- https://lists.debian.org/debian-lts-announce/2024/01/msg00012.html
Опубликовано: 18 декабря 2023 г.
Изменено: 22 декабря 2023 г.
Изменено: 22 декабря 2023 г.
CVE-2023-32727
An attacker who has the privilege to configure Zabbix items can use function icmpping() with additional malicious command inside it to execute arbitrary code on the current Zabbix server.
Важность: HIGH (7,2) Вектор: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Ссылки:
Опубликовано: 18 декабря 2023 г.
Изменено: 22 декабря 2023 г.
Изменено: 22 декабря 2023 г.
CVE-2023-32728
The Zabbix Agent 2 item key smart.disk.get does not sanitize its parameters before passing them to a shell command resulting possible vulnerability for remote code execution.
Важность: CRITICAL (9,8) Вектор: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Ссылки:
Опубликовано: 9 февраля 2024 г.
Изменено: 28 апреля 2024 г.
Изменено: 28 апреля 2024 г.
CVE-2024-22119
The cause of vulnerability is improper validation of form input field “Name” on Graph page in Items section.
Важность: MEDIUM (5,4) Вектор: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
Ссылки: