频道栏目
首页 > 资讯 > 安全公告 > 正文

关于zabbix存在SQL注入高危漏洞的安全公告

16-09-01        来源:[db:作者]  
收藏   我要投稿

近日,红黑联盟收录了zabbix存在的SQL注入漏洞(CNVD-2016-06408)。攻击者利用漏洞无需授权登录即可控制zabbix管理系统,或通过script等功能直接获取zabbix服务器的操作权限,进而有可能危害到用户单位整个网络系统的运行安全。由于zabbix服务器在境内应用较为广泛,有可能诱发较高的大规模攻击风险。

一、漏洞情况分析

zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级开源解决方案。 由于zabbix默认开启了guest权限,且默认密码为空,导致zabbix的jsrpc中profileIdx2参数存在insert方式的SQL注入漏洞。攻击者利用漏洞无需登录即可获取网站数据库管理员权限,或通过script等功能直接获取zabbix服务器的操作系权限。CNVD对该漏洞的综合评级为“高危”。

二、漏洞影响范围

漏洞影响较低版本zabbix系统,如已经确认的2.2.x, 3.0.0-3.0.3版本。根据CNVD初步普查情况,约有3.5万台zabbix服务器暴露在互联网上,其中排名TOP 5的国家和地区如下:中国(24.9%)、美国(18.8%)、俄罗斯(9.0%)、巴西(8.0%)、德国(5.4%),在中国境内排名TOP5的省份为:北京(32.6%)、浙江(23.2%)、广东(11.4%)、上海(7.8%)、江苏(4.3%)。同时,根据CNVD抽样测试结果(样本数量>500),zabbix服务器受漏洞直接影响(验证可攻击成功)的比例为34.8%,影响比例较高。通过对比发现,在不受漏洞影响的服务器样本中,有一部分服务器Header字段中不存在zbx_sessionid信息,对于防范攻击有一定的帮助。

三、漏洞修复建议

用户可通过禁用guest账户缓解该漏洞造成的威胁。目前,厂商已发布新版本修复此漏洞,红黑联盟建议用户关注厂商主页,升级到最新版本。

相关TAG标签
上一篇:win10系统如何快速复制注册表路径?
下一篇:Mac平台BT软件Transmission官网挂马 可窃取用户密码
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站