Zabbix < 1.8.20 / 2.0.11 / 2.2.2 の複数の脆弱性

medium Nessus プラグイン ID 72770

概要

リモート Web アプリケーションは、複数の脆弱性の影響を受けることがあります。

説明

自己報告されたバージョン番号によると、リモートホストでリッスンしている Zabbix のインスタンスは、次の脆弱性の影響を受ける可能性があります:

- LDAP 認証に関連したエラーが存在し、これにより LDAP bind パスワードが漏洩する可能性があります。(CVE-2013-5572)

- HTTP 認証、API 関数「user.login」呼び出し、ユーザーの切り替えに関連したエラーが存在し、これによりセキュリティバイパスが発生する可能性があります。(CVE-2014-1682)

- ユーザータイプ「Zabbix Admin」に関連したエラーが存在し、ユーザータイプ「Zabbix Super Admin」にのみ予約されるべき権限のないアプリケーションの変更が行われる可能性があります。(CVE-2014-1685)

注意:Nessus では、これらの問題をテストしていませんが、その代わりに Zabbix ログインページのバージョンだけに依存している。

ソリューション

Zabbix をバージョン 1.8.20 / 2.0.11 / 2.2.2 または以降に更新してください。

参考資料

https://www.zabbix.com/rn/rn1.8.20

http://www.zabbix.com/rn2.0.11.php

https://www.zabbix.com/rn/rn2.2.2

https://support.zabbix.com/browse/ZBX-6721

https://support.zabbix.com/browse/ZBX-7693

https://support.zabbix.com/browse/ZBX-7703

プラグインの詳細

深刻度: Medium

ID: 72770

ファイル名: zabbix_frontend_2_2_2.nasl

バージョン: 1.9

タイプ: remote

ファミリー: CGI abuses

公開日: 2014/3/3

更新日: 2022/4/11

設定: パラノイドモードの有効化, 徹底したチェックを有効にする

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.0

CVSS v2

リスクファクター: Medium

Base Score: 5.5

Temporal Score: 4.3

ベクトル: CVSS2#AV:N/AC:L/Au:S/C:N/I:P/A:P

CVSS スコアのソース: CVE-2014-1685

脆弱性情報

CPE: cpe:/a:zabbix:zabbix

必要な KB アイテム: www/zabbix, Settings/ParanoidReport

エクスプロイトが利用可能: true

エクスプロイトの容易さ: No exploit is required

パッチ公開日: 2014/1/31

脆弱性公開日: 2013/6/18

参照情報

CVE: CVE-2013-5572, CVE-2014-1682, CVE-2014-1685

BID: 65402, 65446