Описание
Множественные уязвимости zabbix7-lts-server-mysql
Наименование уязвимого пакета
Пакет обновления
Версия уязвимого пакета младше
Возможные меры по устранению уязвимости
Запретить использование в ОС пакета zabbix7-lts-server-mysql или Установить обновление для пакета(ов) zabbix7-lts-server-mysql
Версия ОС
Архитектура ОС
Дата публикации бюллетеня
16.12.2024
CVE-2024-42331
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость универсальной системы мониторинга Zabbix связана с методом es_browser_ctor который извлекает указатель кучи из движка Duktape JavaScript и впоследствии используется методом browser_push_error в файле src/libs/zbxembed/browser_error.c. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать ошибку освобождения памяти, если указатель кучи wd->browser освобождается за счет сбора мусора.
3.3 Low
CVSS3
2.1 Low
CVSS2
CVE-2024-42328
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость универсальной системы мониторинга Zabbix связана с недостаточной проверкой пользовательского ввода в функции webdriver_session_query() в webdriver. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, передать специально созданный HTTP-ответ на сервис и выполнить атаку отказа в обслуживании (DoS).
3.3 Low
CVSS3
2.1 Low
CVSS2
CVE-2024-42329
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость универсальной системы мониторинга Zabbix связана с недостаточной проверкой пользовательского ввода в функции webdriver_session_query() в webdriver. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, передать специально созданный HTTP-ответ на сервис и выполнить атаку отказа в обслуживании (DoS).
3.3 Low
CVSS3
2.1 Low
CVSS2
CVE-2024-36468
Идентификатор БДУ ФСТЭК России:
BDU:2024-10776Описание уязвимости:
Уязвимость функции zbx_snmp_cache_handle_engineid() прокси-сервера универсальной системы мониторинга Zabbix связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
3 Low
CVSS3
2.1 Low
CVSS2
CVE-2024-42326
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость универсальной системы мониторинга Zabbix связана с освобождением памяти в функции es_browser_get_variant() в файле browser.c. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, отправить специально созданный ответ на приложение и выполнить атаку отказа в обслуживании (DoS).
4.4 Medium
CVSS3
3.6 Low
CVSS2
CVE-2024-36467
Идентификатор БДУ ФСТЭК России:
BDU:2024-10777Описание уязвимости:
Уязвимость интерфейса универсальной системы мониторинга Zabbix связана с недостатками процедуры авторизации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии
7.5 High
CVSS3
7.8 High
CVSS2
CVE-2024-36466
Идентификатор БДУ ФСТЭК России:
BDU:2024-10866Описание уязвимости:
Уязвимость механизма аутентификации Single sign-on (SSO) универсальной системы мониторинга Zabbix связана с обходом аутентификации посредством спуфинга. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти существующие ограничения безопасности и повысить свои привилегии с помощью специально созданного подписанного cookie-файла zbx_session
8.8 High
CVSS3
9 Critical
CVSS2
CVE-2024-36463
Идентификатор БДУ ФСТЭК России:
BDU:2024-10864Описание уязвимости:
Уязвимость метода atob универсальной системы мониторинга Zabbix связана с доступом к критичной частной переменной через общедоступный метод.Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на целостность защищаемой информации
6.5 Medium
CVSS3
6.8 Medium
CVSS2