セキュリティ情報 / 2012 / セキュリティ情報 -- DSA-2539-1 zabbix

Debian セキュリティ勧告

DSA-2539-1 zabbix -- SQL インジェクション

報告日時:

2012-09-06

影響を受けるパッケージ:

zabbix

危険性:

あり

参考セキュリティデータベース:

Debian バグ追跡システム: バグ 683273.
Mitre の CVE 辞書: CVE-2012-3435.

詳細:

ネットワーク監視ソリューションの Zabbix が SQL 問い合わせ式の一部とし て使われる利用者の入力を適切に検査していないことが判明しました。この ことが原因で、認証されていない攻撃者が任意の SQL コマンドを実行できる ようになりますし（SQLインジェクション）、権限を昇格することも可能かも しれません。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバー ジョン 1:1.8.2-1squeeze4 で修正されています。

テスト版 (testing) ディストリビューション (wheezy) では、この問題は近く 修正予定です。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバー ジョン 1:2.0.2+dfsg-1 で修正されています。

直ぐに zabbix パッケージをアップグレードすることを勧めます。