Zabbix < 2.2.12 / 2.4.8 / 3.0.1 charts.php の「stime」パラメーターリソース消費によるリモート DoS
medium Nessus プラグイン ID 91714
Language:
概要
リモートホストで実行されている web アプリケーションは、サービス拒否の脆弱性の影響を受けます。説明
自己報告されたバージョン番号によると、リモートホストで実行されている Zabbix のインスタンスは、「charts.php」スクリプトの「stime」パラメーターへのユーザー指定入力のサニタイズが不適切なために、サービス拒否の脆弱性の影響を受けます。リモートの攻撃者がこの問題を悪用して、サーバーリソースを消費し、サービス拒否状態につながる可能性があります。Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。
ソリューション
Zabbix バージョン 2.2.12/2.4.8/3.0.1 以降にアップグレードしてください。参考資料
https://www.zabbix.com/rn/rn2.2.12
https://www.zabbix.com/rn/rn2.4.8
プラグインの詳細
深刻度: Medium
ID: 91714
ファイル名: zabbix_frontend_2_2_12.nasl
バージョン: 1.6
タイプ: remote
ファミリー: CGI abuses
公開日: 2016/6/20
更新日: 2022/4/11
設定: パラノイドモードの有効化, 徹底したチェックを有効にする
サポートされているセンサー: Nessus
リスク情報
CVSS v2
リスクファクター: Medium
Base Score: 5
Temporal Score: 3.7
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P
脆弱性情報
CPE: cpe:/a:zabbix:zabbix
必要な KB アイテム: Settings/ParanoidReport, installed_sw/zabbix
パッチ公開日: 2016/2/16
脆弱性公開日: 2016/1/28