Информация по безопасности / 2012 / Информация о безопасности -- DSA-2539-1 zabbix

Рекомендация Debian по безопасности

DSA-2539-1 zabbix -- SQL-инъекция

Дата сообщения:

06.09.2012

Затронутые пакеты:

zabbix

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 683273.
В каталоге Mitre CVE: CVE-2012-3435.

Более подробная информация:

Было обнаружено, что Zabbix, решение для мониторинга сети, неправильно проверяет пользовательский ввод, используемый в качестве части SQL-запроса. Это может позволить неаутентифицированным злоумышленникам выполнить произвольные команды SQL (SQL-инъекция) и повысить привилегии.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 1:1.8.2-1squeeze4.

В тестируемом выпуске (wheezy) эта проблема будет исправлена позже.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 1:2.0.2+dfsg-1.

Рекомендуется обновить пакеты zabbix.