偵測

Debian DLA-2980-1:zabbix - LTS 安全性更新

medium Nessus Plugin ID 159663

語系:

概要

遠端 Debian 主機上缺少一個或多個安全性更新。

說明

遠端 Debian 9 主機上安裝的多個套件受到 dla-2980 公告中提及的多個弱點影響。

 - 經驗證的使用者可以針對動作頁面建立具有反射式 XSS 承載的連結,並將其傳送給其他使用者。惡意程式碼可存取與網頁其餘部分相同的所有物件,並可對顯示給受害者的頁面內容進行任意修改。可在社交工程的協助及數個因素到期的情況下實施此攻擊 - 攻擊者應已授權存取 Zabbix Frontend,並允許惡意伺服器和受害者電腦之間的網路連線、瞭解受攻擊的基礎結構、被受害者識別為受託人及使用受信任的通訊通道。(CVE-2022-24349)

 - 經驗證的使用者可以針對伺服器頁面建立內含反射式 Javascript 程式碼的連結,並將其傳送給其他使用者。承載只能使用受害者的已知 CSRF token 值執行,該值會定期變更且難以預測。惡意程式碼可存取與網頁其餘部分相同的所有物件,並可在社交工程攻擊期間對顯示給受害者的頁面內容進行任意修改。(CVE-2022-24917)

 - 經驗證的使用者可以針對圖形頁面建立內含反射式 Javascript 程式碼的連結,並將其傳送給其他使用者。承載只能使用受害者的已知 CSRF token 值執行,該值會定期變更且難以預測。惡意程式碼可存取與網頁其餘部分相同的所有物件,並可在社交工程攻擊期間對顯示給受害者的頁面內容進行任意修改。(CVE-2022-24919)

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼。

解決方案

升級 zabbix 套件。

針對 Debian 9「Stretch」,已在版本 1 中修正這些問題

另請參閱

https://security-tracker.debian.org/tracker/source-package/zabbix

https://www.debian.org/lts/security/2022/dla-2980

https://security-tracker.debian.org/tracker/CVE-2022-24349

https://security-tracker.debian.org/tracker/CVE-2022-24917

https://security-tracker.debian.org/tracker/CVE-2022-24919

https://packages.debian.org/source/stretch/zabbix

Plugin 詳細資訊

嚴重性: Medium

ID: 159663

檔案名稱: debian_DLA-2980.nasl

版本: 1.2

類型: local

代理程式: unix

已發布: 2022/4/12

已更新: 2022/4/12

支援的感應器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

風險資訊

VPR

風險因素: Low

分數: 3.8

CVSS v2

風險因素: Low

基本分數: 2.1

時間分數: 1.6

媒介: CVSS2#AV:N/AC:H/Au:S/C:N/I:P/A:N

CVSS 評分資料來源: CVE-2022-24919

CVSS v3

風險因素: Medium

基本分數: 4.4

時間分數: 3.9

媒介: CVSS:3.0/AV:N/AC:H/PR:L/UI:R/S:C/C:L/I:L/A:N

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:debian:debian_linux:zabbix-agent, p-cpe:/a:debian:debian_linux:zabbix-frontend-php, p-cpe:/a:debian:debian_linux:zabbix-java-gateway, p-cpe:/a:debian:debian_linux:zabbix-proxy-mysql, p-cpe:/a:debian:debian_linux:zabbix-proxy-pgsql, p-cpe:/a:debian:debian_linux:zabbix-proxy-sqlite3, p-cpe:/a:debian:debian_linux:zabbix-server-mysql, p-cpe:/a:debian:debian_linux:zabbix-server-pgsql, cpe:/o:debian:debian_linux:9.0

必要的 KB 項目: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2022/4/12

弱點發布日期: 2022/3/9

參考資訊

CVE: CVE-2022-24349, CVE-2022-24917, CVE-2022-24919