Уязвимость CVE-2016-4338: Информация

Описание

The mysql user parameter configuration script (userparameter_mysql.conf) in the agent in Zabbix before 2.0.18, 2.2.x before 2.2.13, and 3.0.x before 3.0.3, when used with a shell other than bash, allows context-dependent attackers to execute arbitrary code or SQL commands via the mysql.size parameter.

Важность: HIGH (8,1) Вектор: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

URL: https://nvd.nist.gov/vuln/detail/CVE-2016-4338

Опубликовано: 24 января 2017 г.

Изменено: 9 октября 2018 г.

Идентификатор типа ошибки: CWE-89

Исправленные пакеты

Имя пакета	Ветка	Исправлено в версии	Версия в репозитории	Errata ID	№ Задания	Состояние
zabbix	sisyphus	2.4.0-alt1	6.0.29-alt1	ALT-PU-2014-2165-1	130800	Исправлено
zabbix	p10	2.4.0-alt1	6.0.28-alt0.p10.1	ALT-PU-2014-2165-1	130800	Исправлено
zabbix	p9	2.4.0-alt1	5.0.12-alt0.p9.1	ALT-PU-2014-2165-1	130800	Исправлено
zabbix	p8	3.0.3-alt1	3.0.26-alt0.M80P.2	ALT-PU-2016-1520-1	164803	Исправлено
zabbix	c10f1	2.4.0-alt1	6.0.27-alt0.c10f1.1	ALT-PU-2014-2165-1	130800	Исправлено
zabbix	c9f2	2.4.0-alt1	5.0.40-alt1	ALT-PU-2014-2165-1	130800	Исправлено
zabbix	c7	3.4.4-alt0.M70C.1	3.4.4-alt0.M70C.1	ALT-PU-2017-2823-1	196831	Исправлено

Ссылки на рекомендации, решения и инструменты

Ссылка	Ресурс
https://www.zabbix.com/documentation/3.0/manual/introduction/whatsnew303#miscellaneous_improvements	Vendor Advisory
https://www.zabbix.com/documentation/2.2/manual/introduction/whatsnew2213#miscellaneous_improvements	Vendor Advisory
https://www.zabbix.com/documentation/2.0/manual/introduction/whatsnew2018#miscellaneous_improvements	Vendor Advisory
39769	Exploit Third Party Advisory VDB Entry
https://support.zabbix.com/browse/ZBX-10741	Exploit Patch Vendor Advisory
GLSA-201612-42	Third Party Advisory VDB Entry
89631	Third Party Advisory VDB Entry
20160503 CVE-2016-4338: Zabbix Agent 3.0.1 mysql.size shell command injection	Exploit Third Party Advisory VDB Entry
http://packetstormsecurity.com/files/136898/Zabbix-Agent-3.0.1-mysql.size-Shell-Command-Injection.html	Exploit Third Party Advisory VDB Entry
20160503 CVE-2016-4338: Zabbix Agent 3.0.1 mysql.size shell command injection

Подверженные конфигурации:
1. Конфигурация 1
  cpe:2.3:a:zabbix:zabbix:2.0.0:*:*:*:*:*:*:*
  cpe:2.3:a:zabbix:zabbix:2.2.2:-:*:*:*:*:*:*
  cpe:2.3:a:zabbix:zabbix:2.2.0:-:*:*:*:*:*:*
  cpe:2.3:a:zabbix:zabbix:2.0.5:*:*:*:*:*:*:*
  cpe:2.3:a:zabbix:zabbix:2.0.14:*:*:*:*:*:*:*
  cpe:2.3:a:zabbix:zabbix:2.0.9:*:*:*:*:*:*:*
  cpe:2.3:a:zabbix:zabbix:2.2.12:*:*:*:*:*:*:*
  cpe:2.3:a:zabbix:zabbix:3.0.2:*:*:*:*:*:*:*
  cpe:2.3:a:zabbix:zabbix:2.2.1:-:*:*:*:*:*:*
  cpe:2.3:a:zabbix:zabbix:2.0.1:*:*:*:*:*:*:*
  cpe:2.3:a:zabbix:zabbix:2.2.6:*:*:*:*:*:*:*
  cpe:2.3:a:zabbix:zabbix:2.0.11:*:*:*:*:*:*:*
  cpe:2.3:a:zabbix:zabbix:2.0.6:*:*:*:*:*:*:*
  cpe:2.3:a:zabbix:zabbix:2.2.11:*:*:*:*:*:*:*
  cpe:2.3:a:zabbix:zabbix:2.0.4:*:*:*:*:*:*:*
  cpe:2.3:a:zabbix:zabbix:2.0.15:*:*:*:*:*:*:*
  cpe:2.3:a:zabbix:zabbix:2.2.7:*:*:*:*:*:*:*
  cpe:2.3:a:zabbix:zabbix:2.0.12:*:*:*:*:*:*:*
  cpe:2.3:a:zabbix:zabbix:3.0.0:*:*:*:*:*:*:*
  cpe:2.3:a:zabbix:zabbix:2.2.4:*:*:*:*:*:*:*
  cpe:2.3:a:zabbix:zabbix:2.0.3:*:*:*:*:*:*:*
  cpe:2.3:a:zabbix:zabbix:2.2.9:*:*:*:*:*:*:*
  cpe:2.3:a:zabbix:zabbix:2.2.10:*:*:*:*:*:*:*
  cpe:2.3:a:zabbix:zabbix:2.2.3:-:*:*:*:*:*:*
  cpe:2.3:a:zabbix:zabbix:2.0.2:*:*:*:*:*:*:*
  cpe:2.3:a:zabbix:zabbix:2.0.17:*:*:*:*:*:*:*
  cpe:2.3:a:zabbix:zabbix:2.2.5:*:*:*:*:*:*:*
  cpe:2.3:a:zabbix:zabbix:2.0.16:*:*:*:*:*:*:*
  cpe:2.3:a:zabbix:zabbix:2.0.10:*:*:*:*:*:*:*
  cpe:2.3:a:zabbix:zabbix:2.0.8:*:*:*:*:*:*:*
  cpe:2.3:a:zabbix:zabbix:2.0.13:*:*:*:*:*:*:*
  cpe:2.3:a:zabbix:zabbix:2.2.8:*:*:*:*:*:*:*
  cpe:2.3:a:zabbix:zabbix:2.0.7:*:*:*:*:*:*:*

Версия: v24.4.2

Наверх

Уязвимость CVE-2016-4338: Информация

Описание

Исправленные пакеты

Ссылки на рекомендации, решения и инструменты

Конфигурация 1