Workaround verfügbar

Zabbix von diversen Schwachstellen geplagt

Die kostenlose Überwachungs-Software Zabbix beinhaltet derzeit zwei Sicherheitslücken. Ein Update gibt es nicht, aber ein Workaround ist verfügbar.

Eingaben in die "host groups"-Namen überprüft die Software vor einer weiteren Benutzung nicht richtig. Somit könnte sich beliebiger HTML- und Script-Code einspeisen lassen, der dann in der Browser-Sitzung eines Anwenders ausgeführt wird. Um diese Lücke auszunutzen, sind allerdings Zugriffsrechte auf "host group" notwendig.

Nicht näher spezifizierte Eingaben in den Profiler werden ebenfalls vor einer Weiterbenutzung nicht richtig überprüft. Sollte ein Anwender eine speziell manipulierte Seite besuchen, könnte sich HTML- und Script-Code in der Browser-Sitzung eines Nutzers ausführen lassen.

Die als weniger kritisch eingestufte Schwachstellen sind für Zabbix 1.8.5 bestätigt. Andere Ausgaben könnten ebenfalls betroffen sein.

Weitere Informationen zu Zabbix finden Sie auch im TecChannel-Artikel "Komplette Server- und Client-Überwachung mit Zabbix 1.8.1". (jdo)