検出

Zabbix < 2.2.12 / 2.4.8 / 3.0.1 charts.php の「stime」パラメーターリソース消費によるリモート DoS

medium Nessus プラグイン ID 91714

Language:

概要

リモートホストで実行されている web アプリケーションは、サービス拒否の脆弱性の影響を受けます。

説明

自己報告されたバージョン番号によると、リモートホストで実行されている Zabbix のインスタンスは、「charts.php」スクリプトの「stime」パラメーターへのユーザー指定入力のサニタイズが不適切なために、サービス拒否の脆弱性の影響を受けます。リモートの攻撃者がこの問題を悪用して、サーバーリソースを消費し、サービス拒否状態につながる可能性があります。

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

Zabbix バージョン 2.2.12/2.4.8/3.0.1 以降にアップグレードしてください。

参考資料

https://www.zabbix.com/rn/rn2.2.12

https://www.zabbix.com/rn/rn2.4.8

https://www.zabbix.com/rn/rn3.0.1

https://support.zabbix.com/browse/ZBX-10319

プラグインの詳細

深刻度: Medium

ID: 91714

ファイル名: zabbix_frontend_2_2_12.nasl

バージョン: 1.8

タイプ: remote

ファミリー: CGI abuses

公開日: 2016/6/20

更新日: 2025/5/14

設定: パラノイドモードの有効化, 徹底したチェックを有効にする (optional)

サポートされているセンサー: Nessus

Enable CGI Scanning: true

脆弱性情報

CPE: cpe:/a:zabbix:zabbix

必要な KB アイテム: Settings/ParanoidReport, installed_sw/zabbix

パッチ公開日: 2016/2/16

脆弱性公開日: 2016/1/28