いつもお世話になっております。
5/27にZabbixの脆弱性( CVE-2017-2824 )が公開されましたが、 対象になっているバージョンは、 Zabbix 2.4のみでしょうか。
使用しているZabbixのバージョンは2.2.3です。
以上、宜しくお願い致します。
2.4だけではないようです。 2.2.3ですと、この脆弱性があると思われます。
2.4はサポートが終了しているので修正されたものの公開はないと 思いますが、2.2、3.0、3.2以降であれば修正版がリリースされる と思います。
以下のURLでは、
2.0.21rc1, 2.2.18rc1, 3.0.9rc1, 3.2.5rc1, 3.4.0alpha1 (trunk)
で修正されているようなのですが、その後に正式リリースされたバ ージョンのリリースノートに記載がないので、修正されたかどうか は確認が必要です。
ZBX-12074 Security vulnerability findingsZBX-12075 Bug 1. Zabbix Server Remote Code Execution ( CVSS: 10, SIR: Critical ) https://support.zabbix.com/browse/ZBX-12075
----- 追記 ----- 2.2.18、3.0.9、3.2.6では、共通関数としてis_supported_ip()と いう関数が追加され、有効なIPアドレスであるかチェックするロジ ックが追加されているようです。
TKN様
ご回答ありがとうございました。 返信が遅くなり申し訳ございません。
Zabbix proxyが入っていない環境ですと この脆弱性は受けないのでしょうか。
その環境がZabbixプロキシを使用しているかどうかは関係なく、 Zabbixサーバーに対してZabbixプロキシのふりをして不正な情報 を送り込む問題であったと思います。
Zabbixプロキシを使用していなければ影響を受けないというわけ ではなさそうです。
とはいえ、先の回答でもご紹介したリンク先のコメントをみると、 まだ問題のあるアクセス方法が残っているようですので、現時点 でのFixは、完全なFixではないようです。 何らかの追加情報が公開されたら、追記しようと思います。
CVE-2017-2824 に対処した 2.2.19 が出たようですね。
アカウント名 ace
Zabbix関連
TNK - 投稿数: 4769
2.4だけではないようです。
2.2.3ですと、この脆弱性があると思われます。
2.4はサポートが終了しているので修正されたものの公開はないと
思いますが、2.2、3.0、3.2以降であれば修正版がリリースされる
と思います。
以下のURLでは、
2.0.21rc1, 2.2.18rc1, 3.0.9rc1, 3.2.5rc1, 3.4.0alpha1 (trunk)
で修正されているようなのですが、その後に正式リリースされたバ
ージョンのリリースノートに記載がないので、修正されたかどうか
は確認が必要です。
ZBX-12074 Security vulnerability findingsZBX-12075
Bug 1. Zabbix Server Remote Code Execution ( CVSS: 10, SIR: Critical )
https://support.zabbix.com/browse/ZBX-12075
----- 追記 -----
2.2.18、3.0.9、3.2.6では、共通関数としてis_supported_ip()と
いう関数が追加され、有効なIPアドレスであるかチェックするロジ
ックが追加されているようです。
ace - 投稿数: 9
TKN様
ご回答ありがとうございました。
返信が遅くなり申し訳ございません。
Zabbix proxyが入っていない環境ですと
この脆弱性は受けないのでしょうか。
以上、宜しくお願い致します。
TNK - 投稿数: 4769
その環境がZabbixプロキシを使用しているかどうかは関係なく、
Zabbixサーバーに対してZabbixプロキシのふりをして不正な情報
を送り込む問題であったと思います。
Zabbixプロキシを使用していなければ影響を受けないというわけ
ではなさそうです。
とはいえ、先の回答でもご紹介したリンク先のコメントをみると、
まだ問題のあるアクセス方法が残っているようですので、現時点
でのFixは、完全なFixではないようです。
何らかの追加情報が公開されたら、追記しようと思います。
heya - 投稿数: 319
CVE-2017-2824 に対処した 2.2.19 が出たようですね。