概要
リモートの Debian ホストにセキュリティ関連の更新プログラムがありません。
説明
リモートの Debian 11 ホストには、dla-3909 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。
------------------------------------------------------------------------- Debian LTS アドバイザリ DLA-3909-1 [email protected] https://www.debian.org/lts/security/Tobias Frost 2024 年 10 月 3 日 https://wiki.debian.org/LTS-------------------------------------------------------------------------
パッケージ : zabbix バージョン : 1:5.0.44+dfsg-1+deb11u1 CVE ID : CVE-2022-23132 CVE-2022-23133 CVE-2022-24349 CVE-2022-24917 CVE-2022-24918 CVE-2022-24919 CVE-2022-35229 CVE-2022-35230 CVE-2022-43515 CVE-2023-29449 CVE-2023-29450 CVE-2023-29454 CVE-2023-29455 CVE-2023-29456 CVE-2023-29457 CVE-2023-29458 CVE-2023-32721 CVE-2023-32722 CVE-2023-32724 CVE-2023-32726 CVE-2023-32727 CVE-2024-22114 CVE-2024-22116 CVE-2024-22119 CVE-2024-22122 CVE-2024-22123 CVE-2024-36460 CVE-2024-36461 Debian バグ : 1014992 1014994 1026847 1053877 1055175 1078553
ネットワーク監視ソリューションの zabbix に複数のセキュリティの脆弱性が発見されました。特に、XSS、コード実行、情報漏洩、リモートコード実行、なりすまし、セッションハイジャックが発生する可能性があります。
アップロードされたバージョンは新しい upstrea メンテナンスバージョンであるため、このバージョンではいくつかのマイナーな新機能と動作の変更があります。詳細については、以下を参照してください。
CVE-2022-23132
RPM から Zabbix をインストールする間、[/var/run/zabbix] フォルダーの PID ファイルにアクセスするために DAC_OVERRIDE SELinux 機能が使用されています。この場合、Zabbix Proxy または Server プロセスは、ファイルシステムレベルでファイルの読み取り、書き込み、および実行の権限チェックをバイパスする可能性があります。
CVE-2022-23133
認証されたユーザーは、XSS ペイロードを使用して構成からホストグループを作成できます。これは他のユーザーが利用できます。XSS が認証された悪意のある攻撃者によって保存されており、新しいホストの作成中に他のユーザーがグループを検索しようとすると、XSS ペイロードが起動し、攻撃者はセッション Cookie を盗み、セッションハイジャックを実行してユーザーを偽装したり、アカウントを乗ったりする可能性があります。
CVE-2022-24349
認証されたユーザーは、XSS ペイロードを使用して構成からホストグループを作成できます。これは他のユーザーが利用できます。XSS が認証された悪意のある攻撃者によって保存されており、新しいホストの作成中に他のユーザーがグループを検索しようとすると、XSS ペイロードが起動し、攻撃者はセッション Cookie を盗み、セッションハイジャックを実行してユーザーを偽装したり、アカウントを乗ったりする可能性があります。
CVE-2022-24917
認証されたユーザーは、サービスのページに対して反映された Javascript コードでリンクを作成し、それを他のユーザーに送信できます。ペイロードは、被害者の既知の CSRF トークン値でのみ実行できます。これは定期的に変更され、予測が困難です。悪意のあるコードは、Web ページの残りの部分と同じオブジェクトすべてにアクセスでき、ソーシャルエンジニアリング攻撃中に被害者に表示されているページのコンテンツに任意の変更を加える可能性があります。
CVE-2022-24918
認証されたユーザーは、アイテムのページに対して反映された Javascript コードでリンクを作成し、それを他のユーザーに送信できます。ペイロードは、被害者の既知の CSRF トークン値でのみ実行できます。これは定期的に変更され、予測が困難です。悪意のあるコードは、Web ページの残りの部分と同じオブジェクトすべてにアクセスでき、ソーシャルエンジニアリング攻撃中に被害者に表示されているページのコンテンツに任意の変更を加える可能性があります。
CVE-2022-24919
認証されたユーザーは、グラフのページに対して反映された Javascript コードでリンクを作成し、それを他のユーザーに送信できます。ペイロードは、被害者の既知の CSRF トークン値でのみ実行できます。これは定期的に変更され、予測が困難です。悪意のあるコードは、Web ページの残りの部分と同じオブジェクトすべてにアクセスでき、ソーシャルエンジニアリング攻撃中に被害者に表示されているページのコンテンツに任意の変更を加える可能性があります。
CVE-2022-35229
認証されたユーザーは、検出ページに対して反映された Javascript コードでリンクを作成し、それを他のユーザーに送信できます。ペイロードは、被害者の既知の CSRF トークン値でのみ実行できます。これは定期的に変更され、予測が困難です。
CVE-2022-35230
認証されたユーザーは、グラフのページに対して反映された Javascript コードでリンクを作成し、それを他のユーザーに送信できます。ペイロードは、被害者の既知の CSRF トークン値でのみ実行できます。これは定期的に変更され、予測が困難です。
CVE-2022-43515
Zabbix Frontend は、管理者がインストールを維持し、特定の IP アドレスのみがそれにアクセスできるようにする機能を提供します。このようにして、いかなるユーザーも Zabbix Frontend にメンテナンス中はアクセスできず、機密データの漏洩が防止されます。攻撃者がこの保護をバイパスし、定義された範囲にリストされていない IP アドレスを使用してインスタンスにアクセスする可能性があります。
CVE-2023-29449
JavaScript の前処理、webhook、グローバルスクリプトにより、CPU、メモリ、ディスク I/O の使用率が制御されなくなる可能性があります。
前処理/webhook/global スクリプトの構成とテストは、管理者ロール (管理者およびスーパー管理者) のみが利用できます。通常、管理者権限は、システムのより詳細な制御が求められるタスクを実行する必要があるユーザーに付与すべきです。すべてのユーザーがこのレベルのアクセス権を持っているわけではないため、セキュリティリスクは限定的です。
CVE-2023-29450
攻撃者が JavaScript の前処理を利用して、Zabbix Server または Zabbix Proxy 上のファイルシステムへのアクセス (ユーザー zabbix に代わる読み取り専用アクセス) を取得することが可能です。これにより、機密データへの不正なアクセスが引き起こされる可能性があります。
CVE-2023-29454
[フォームに送信] フィールドの [メディア] タブにある [ユーザー] セクションに、蓄積型または持続型クロスサイトスクリプティング (XSS) の脆弱性が見つかりました。[送信先] フィールドに悪意のあるコードが含まれた状態で新しいメディアが作成されると、同じメディアの編集時にそのコードが実行されます。
CVE-2023-29455
折り返し型 XSS 攻撃 (非持続攻撃とも呼ばれる) が見つかりました。これにより、攻撃者は悪意のあるコードを GET リクエストとして graph.php に渡すことができます。システムはそれを保存し、現在のグラフページが開かれるときに実行します。
CVE-2023-29456
URL 検証スキームは、ユーザーから受け取った入力を解析してさまざまなコンポーネントを特定します。検証スキームにより、すべての URL コンポーネントがインターネット標準に準拠していることを確認できます。
CVE-2023-29457
折り返し型 XSS 攻撃 (非持続攻撃とも呼ばれる) が見つかり、XSS セッションクッキーが漏洩する可能性があります。これにより、攻撃者が正当なユーザーになりすまし、そのプライベートアカウントを悪用する可能性があります。
CVE-2023-29458
Duktape はサードパーティの埋め込み可能な JavaScript エンジンであり、ポータビリティとコンパクトなフットプリントに重点を置いています。valstack で追加する値が多すぎると、JavaScript がクラッシュします。この問題は、弊社が使用しているサードパーティのソリューションである Duktape 2.6 のバグが原因で発生します。
CVE-2023-32721
URL フィールドの URL の前にスペースが挿入されている場合、蓄積型 XSS が Maps 要素の Zabbix ウェブアプリケーションで見つかっています。
CVE-2023-32722
zabbix/src/libs/zbxjson モジュールは、zbx_json_open を介して JSON ファイルを解析するときのバッファオーバーフローに対して脆弱です。
CVE-2023-32724
メモリポインターが Ducktape オブジェクトのプロパティにあります。これにより、直接メモリアクセスと操作に関連する複数の脆弱性が発生します。
CVE-2023-32726
DNS 応答の読み取りによるバッファオーバーリードの可能性。
CVE-2023-32727
Zabbix アイテムを構成する権限を持つ攻撃者が、icmpping() 関数をその中に悪意のあるコマンドを追加して使用することで、現在の Zabbix サーバー上で任意のコードを実行できます。
CVE-2024-22114
いずれのホストにもアクセス許可を持たないユーザーは、Global View Dashboard のシステム情報ウィジェットからホスト数やその他の統計にアクセスして表示できます。
CVE-2024-22116
アクセス許可が制限された管理者が、[Monitoring Hosts] セクション内のスクリプト実行機能を悪用する可能性があります。スクリプトパラメーターに対するデフォルトのエスケープがないため、このユーザーは Ping スクリプトを介して任意のコードを実行し、インフラを危険にさらすことができます。
CVE-2024-22119
グラフアイテム選択フォームにおける蓄積型 XSS
CVE-2024-22122
Zabbix では、SMS 通知を設定できます。Web でも Zabbix サーバー側でも Number フィールドの検証が行われないため、AT コマンドインジェクションが Zabbix サーバーで発生します。攻撃者は、特別に細工された電話番号を提供する SMS のテストを実行し、モデムで追加の AT コマンドを実行できます。
CVE-2024-22123
SMS メディアの設定により、GSM モデムファイルの設定が可能になります。その後、このファイルは Linux デバイスとして使用されます。しかし、すべてが Linux 用のファイルであるため、ログファイルなどの別のファイルを設定することが可能で、zabbix_server はモデムとして通信しようとします。その結果、ログファイルが AT コマンドで破損され、ログファイルのコンテンツの一部が UI に漏洩します。
CVE-2024-36460
フロントエンド監査ログにより、パスワードが平文で表示される、保護されていない平文パスワードを表示できます。
CVE-2024-36461
変更のための JS エンジン内のメモリポインターへの直接アクセス。
この脆弱性により、1 つのアイテム構成にアクセスできるユーザー (制限されたロール) があるため、リモートコードの実行によって、監視ソリューションのインフラ全体が侵害される可能性があります。
Debian 11 bullseye においては、これらの問題はバージョン 1:5.0.44+dfsg-1+deb11u1 で修正されました。
お使いの zabbix パッケージをアップグレードすることを推奨します。
zabbix の詳細なセキュリティステータスについては、そのセキュリティトラッカーページを参照してください:
https://security-tracker.debian.org/tracker/zabbix
Debian LTS セキュリティアドバイザリに関する詳細、これらの更新をシステムに適用する方法、およびよくある質問については、こちらを参照してください。https://wiki.debian.org/LTS
前述のとおり、このバージョンは新しい Upstream のメンテナンスのリリースです。
Upstream のアップグレードノートには、以下の変更が記載されています。
(Debian Bullseye に関連しない変更は省略されています。)
5.0.11 のアップグレードの注意
VMware イベントコレクター - VMware イベントコレクターの動作が変更され、メモリオーバーロードの問題が修正されました。
5.0.31 のアップグレードの注意
History syncers のパフォーマンスを改善しました
History syncers のパフォーマンスは、新しい読み書きロックを導入することで改善されました。これにより、構成キャッシュへのアクセス中に共有読み取りロックを使用することで、履歴 syncer、trappers、proxy poller 間のロックが減少します。新しいロックは、構成キャッシュのリロードを実行する構成 syncer によってのみ書き込みロックできます。
5.0.32 のアップグレードの注意
前処理の JavaScript オブジェクトに対して、次の制限が導入されました。
Log() メソッドで記録できるすべてのメッセージの合計サイズは、スクリプトの実行ごとに 8 MB に制限されています。
複数の CurlHttpRequest オブジェクトの初期化は、スクリプト実行ごとに 10 に制限されています。AddHeader() メソッドで単一の CurlHttpRequest オブジェクトに追加できるヘッダーフィールドの合計長は、128 キロバイトに制限されました (特殊文字およびヘッダー名を含む)。
添付ファイル:
signature.asc 説明: PGP 署名
Tenable は、前述の説明ブロックを Debian セキュリティアドバイザリから直接抽出しました。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
zabbix-agent パッケージをアップグレードしてください。
プラグインの詳細
ファイル名: debian_DLA-3909.nasl
エージェント: unix
サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:debian:debian_linux:zabbix-proxy-mysql, cpe:/o:debian:debian_linux:11.0, p-cpe:/a:debian:debian_linux:zabbix-server-pgsql, p-cpe:/a:debian:debian_linux:zabbix-frontend-php, p-cpe:/a:debian:debian_linux:zabbix-proxy-sqlite3, p-cpe:/a:debian:debian_linux:zabbix-server-mysql, p-cpe:/a:debian:debian_linux:zabbix-agent, p-cpe:/a:debian:debian_linux:zabbix-java-gateway, p-cpe:/a:debian:debian_linux:zabbix-proxy-pgsql
必要な KB アイテム: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
エクスプロイトの容易さ: Exploits are available
参照情報
CVE: CVE-2022-23132, CVE-2022-23133, CVE-2022-24349, CVE-2022-24917, CVE-2022-24918, CVE-2022-24919, CVE-2022-35229, CVE-2022-35230, CVE-2022-43515, CVE-2023-29449, CVE-2023-29450, CVE-2023-29454, CVE-2023-29455, CVE-2023-29456, CVE-2023-29457, CVE-2023-29458, CVE-2023-32721, CVE-2023-32722, CVE-2023-32724, CVE-2023-32726, CVE-2023-32727, CVE-2024-22114, CVE-2024-22116, CVE-2024-22119, CVE-2024-22122, CVE-2024-22123, CVE-2024-36460, CVE-2024-36461