Workaround verfügbar
Zabbix von diversen Schwachstellen geplagt
Eingaben in die "host groups"-Namen überprüft die Software vor einer weiteren Benutzung nicht richtig. Somit könnte sich beliebiger HTML- und Script-Code einspeisen lassen, der dann in der Browser-Sitzung eines Anwenders ausgeführt wird. Um diese Lücke auszunutzen, sind allerdings Zugriffsrechte auf "host group" notwendig.
Nicht näher spezifizierte Eingaben in den Profiler werden ebenfalls vor einer Weiterbenutzung nicht richtig überprüft. Sollte ein Anwender eine speziell manipulierte Seite besuchen, könnte sich HTML- und Script-Code in der Browser-Sitzung eines Nutzers ausführen lassen.
Die als weniger kritisch eingestufte Schwachstellen sind für Zabbix 1.8.5 bestätigt. Andere Ausgaben könnten ebenfalls betroffen sein.
Weitere Informationen zu Zabbix finden Sie auch im TecChannel-Artikel "Komplette Server- und Client-Überwachung mit Zabbix 1.8.1". (jdo)