Zabbixの脆弱性( CVE-2017-2824 )

いつもお世話になっております。

5/27にZabbixの脆弱性( CVE-2017-2824 )が公開されましたが、
対象になっているバージョンは、
Zabbix 2.4のみでしょうか。

使用しているZabbixのバージョンは2.2.3です。

以上、宜しくお願い致します。

コメント表示オプション

お好みのコメント表示方法を選び「設定の保存」をクリックすると変更が反映されます。
ユーザー TNK の写真

2.4だけではないようです。
2.2.3ですと、この脆弱性があると思われます。

2.4はサポートが終了しているので修正されたものの公開はないと
思いますが、2.2、3.0、3.2以降であれば修正版がリリースされる
と思います。

以下のURLでは、

 2.0.21rc1, 2.2.18rc1, 3.0.9rc1, 3.2.5rc1, 3.4.0alpha1 (trunk)

で修正されているようなのですが、その後に正式リリースされたバ
ージョンのリリースノートに記載がないので、修正されたかどうか
は確認が必要です。

ZBX-12074 Security vulnerability findingsZBX-12075
Bug 1. Zabbix Server Remote Code Execution ( CVSS: 10, SIR: Critical )
https://support.zabbix.com/browse/ZBX-12075

----- 追記 -----
2.2.18、3.0.9、3.2.6では、共通関数としてis_supported_ip()と
いう関数が追加され、有効なIPアドレスであるかチェックするロジ
ックが追加されているようです。

ユーザー ace の写真

TKN様

ご回答ありがとうございました。
返信が遅くなり申し訳ございません。

Zabbix proxyが入っていない環境ですと
この脆弱性は受けないのでしょうか。

以上、宜しくお願い致します。

ユーザー TNK の写真

その環境がZabbixプロキシを使用しているかどうかは関係なく、
Zabbixサーバーに対してZabbixプロキシのふりをして不正な情報
を送り込む問題であったと思います。

Zabbixプロキシを使用していなければ影響を受けないというわけ
ではなさそうです。

とはいえ、先の回答でもご紹介したリンク先のコメントをみると、
まだ問題のあるアクセス方法が残っているようですので、現時点
でのFixは、完全なFixではないようです。
何らかの追加情報が公開されたら、追記しようと思います。

ユーザー heya の写真

CVE-2017-2824 に対処した 2.2.19 が出たようですね。