【漏洞预警】Zabbix未授权访问漏洞

深信服千里目安全实验室 · 公众号 · · 2019-10-10 20:50

正文

2019年10月06日，exploit-db发布了Zabbix的一个未授权访问漏洞的验证代码。该漏洞影响所有版本小于或等于4.4的Zabbix。

漏洞名称：Zabbix未授权访问漏洞

威胁等级：严重

影响范围：Zabbix <= 4.4

漏洞类型：未授权访问

利用难度：极易

Zabbix简介

Zabbix是一个基于WEB界面提供分布式系统监视以及网络监视功能的企业级的开源解决方案。Zabbix能监视各种网络参数，保证服务器系统的安全运营；并提供灵活的通知机制以让系统管理员快速定位/解决存在的各种问题。

漏洞分析

Zabbix存在一个未授权访问漏洞，通过该漏洞，攻击者可以在未经授权的情况下访问Zabbix服务器上的数据，导致敏感信息泄露。

漏洞验证效果如下：

影响范围

受影响的Zabbix版本：

Zabbix <= 4.4

深信服解决方案

【 深信服安全云 】在漏洞爆发之初，已完成检测更新，对所有用户网站探测，保障用户安全。不清楚自身业务是否存在漏洞的用户，可注册信服云眼账号，获取30天免费安全体验。

注册地址： http://saas.sangfor.com.cn

缓解措施

对Zabbix服务器开启访问控制，只允许白名单内的用户访问Zabbix服务器。

修复建议

请大家及时关注官网补丁公告动态：

https://support.zabbix.com/projects/ZBX/issues/ZBX-16748?filter=allissues

参考链接

推荐文章

贵州省通信管理局 · 贵州省通信管理局圆满完成春节期间网络和数据安全保障任务

昨天

贵州省通信管理局 · 贵州省通信管理局圆满完成春节期间网络和数据安全保障任务

昨天

网优雇佣军 · 迎亚冬会，中国联通推出权益超市，新春好礼拿不停！

4 天前

格斗迷 · 一大波民间高手正在来袭！

7 年前

钱眼 · 点评｜管理层把“监管牌”打错了

7 年前

智能建筑电气技术杂志 · 【IBE】精解|软启动器接线图文大全！

7 年前

中国标准化 · 【招聘】我们正在寻找有才的你

7 年前

中国证券投资基金业协会 · 【协会通知】关于举办第六十三期“专家讲坛”的通知

7 年前