关于zabbix漏洞情况的通报-k8凯发天生赢家

近日，互联网上披露了有关zabbix存在两处基于错误回显的sql注入漏洞（cnnvd-201608-340、cnnvd-201608-341）的情况。该漏洞是由于zabbix默认开启guest权限（其账户默认密码是空），导致攻击者可利用该权限访问latest.php和jsrpc.php页面，从而触发上述漏洞，获取远程服务器控制权限。

7月22日，zabbix官方网站针对latest.php页面的漏洞发布了修复方案(zbx-11023)，但经分析，最新版本的zabbix中，jsrpc.php页面的漏洞依然存在。国家信息安全漏洞库（cnnvd）对此进行了跟踪分析，详细分析情况如下：

一、漏洞简介

zabbix是一个基于web界面的提供分布式系统监视以及网络监视功能的企业级的开源k8凯发天生赢家的解决方案，广泛应用于企业对it基础设施运行状态的实时监控。

zabbix 2.2.x和3.0.x版本中存在两处基于错误回显的sql注入漏洞（漏洞编号：cnnvd-201608-340、cnnvd-201608-341）。第一处漏洞源于latest.php中的toggle_ids[]数组未对输入数据安全过滤。第二处漏洞源于jsrpc.php页面中的profileidx2参数未对输入数据安全过滤。

二、漏洞危害

经分析，zabbix系统通常部署在企业内网，根据zoomeye扫描结果，目前全球暴露在公网上的zabbix系统有上万余个，其中我国各省市共有1423个，德国、美国、日本等其他国家共有10477个，部署范围较广，影响较为严重。

远程攻击者可利用该漏洞获取zabbix系统的管理员账号，进行服务器信息监控、用户管理、执行恶意脚本等恶意操作，从而直接获取计算机远程控制权限，进一步对受影响的服务器实施远程攻击。

三、修复措施

1、部署zabbix的单位，应及时检查所使用的zabbix版本是否在受影响范围内。如受影响，可采取以下缓解方案：

（1）将该系统的guest账户设置为禁用，禁用guest步骤：点击“administration”-->users选项，选择guest用户，点击status的”enabled"，即完成 guest用户被禁用操作；

（2）针对latest.php存在的漏洞，可将zabbix版本到最新版本3.0.4。

公告链接：http://www.zabbix.com/rn3.0.4.php

（3）针对源代码进行修复，修复方法：对cprofile类的flush方法中注入参数做强制整形转换。

2、部署受影响zabbix版本的单位应密切关注zabbix官方网站发布的相关信息，及时修复漏洞，消除隐患。

本报告由cnnvd技术支撑单位—杭州安恒信息技术有限公司、北京奇虎科技有限公司、北京知道创宇信息技术有限公司、北京白帽汇科技有限公司提供支持。

cnnvd将继续跟踪上述漏洞的相关情况，及时发布相关信息。如有需要，可与cnnvd及时联系。