Използвате Zabbix? Ъпгрейднете максимално бързо, паролите ви са в опасност!

Осем уязвимости в сигурността на приложението за мониторинг на мрежова инфраструктура Zabbix са били открити и отстранени от създателите му. Препоръката ни е да ъпдейтнете до най-новата налична версия, защото част от тях са критични и позволяват включително кражба на пароли на потребителите ви. По-конкретно:

• Отдалечено изпълнение на код в ping скрипт (CVE-2024-22116);
• Пряк достъп до указатели в паметта в рамките на JS енджина с цел модификация (CVE-2024-36461);
• Одитн дневникът на показва пароли в обикновен текст (CVE-2024-36460);
• Неконтролируемо потребление на ресурси (CVE-2024-36462);
• Инсталаторът MSI на Zabbix Agent позволява на потребител без администраторски права да получи достъп до опцията за промяна на настройките чрез msiexec.exe (CVE-2024-22121);
• Уиджет за системна информация в таблото за управление Global View разкрива информация за хостове на потребители без разрешение (CVE-2024-22114);
• Четене на произволни файлове (arbitrary files) в Zabbix (CVE-2024-22123).

Пропуските са отстранени във версиите 5.0.43rc1, 6.0.31rc1, 6.4.16rc1 и 7.0.0rc3.