Ad Widget

**Kos** · 30-01-2025, 14:59

Originally posted by teddy

Коллеги! а у кого есть что сказать про описаное в єтой статье?
я на всякий случай закрыл доступ к АПІ кроме 127.0.0.1.. но такое - половина решения если не треть.
может уже есть лекарство?

А самим посмотреть так уж сложно, да?
Вот ссылка на тикет в самой компании Zabbix, закрытый 27.11.2024, где содержится пометка:

Fix Version/s: 6.0.32rc1, 6.4.17rc1, 7.0.1rc1

Для сравнения скажу, что текущие релизы этих версий на сегодняшний день - 6.0.38, 6.4.21 и 7.0.9, т.е. данная конкретная уязвимость закрыта 2 месяца назад, а кто не ставит обновления - тот сами знаете кто.
Что касается остальных вещей из этой статьи, то возникает впечатление, что её автор не читал документации и искренне удивляется тому, что, например:

пользователю с ролью Супер-администратора доступны какие-то потенциально небезопасные вещи;
разрешив на агенте выполнение скриптов, их таки и вправду там можно будет запустить;
имея креденшиалы Супер-администратора, можно пользоваться API и выполнять административные задачи через веб-интерфейс.

Как-то так.

**teddy** · 30-01-2025, 15:11

Спасибо. у меня стоит как раз 7.0.9 но лучше переспросить умных людей. а тикета который по ссылке - сам не нашел.

**PavelZ** · 04-02-2025, 16:48

Originally posted by Kos

т.е. данная конкретная уязвимость закрыта 2 месяца назад, а кто не ставит обновления - тот сами знаете кто.

Вообще-то, прошло почти 7 месяцев.
С момента непубличного закрытия в версии 7.0.1rc1 и других параллельных . А два месяца назад решили раскрыть подробности

Ad Widget

SQL Injection in Zabbix

SQL Injection in Zabbix

Comment

Comment

Comment