The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

13.08.2016 22:48  Уязвимость в системе мониторинга Zabbix

В обновлениях системы мониторинга Zabbix 2.2.14 и 3.0.4 устранена уязвимость, позволяющая выполнить SQL-код в СУБД и добиться выполнения произвольных команд на сервере и отслеживаемых хостах. В частности, через SQL-запрос можно получить права администратора Zabbix, который в зависимости от конфигурации может выполнять команды на хостах, отслеживаемых в Zabbix. Проблема вызвана недостаточной проверкой допустимых значений параметра toggle_ids при обращении к странице latest.php. Атака возможна со стороны аутентифицированного пользователя или при включении гостевого входа без пароля.

  1. Главная ссылка к новости (http://seclists.org/fulldisclo...)
  2. OpenNews: Выпуск системы мониторинга Zabbix 3.0
  3. OpenNews: Выпуск системы мониторинга Zabbix 2.4
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: zabbix
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, A.Stahl, 23:46, 13/08/2016 [ответить] [смотреть все]
  • +34 +/
    Лес. Зима. Вечер.
    Подходит toggle_ids к latest.php, стучит и спрашивает: "А кто в скриптике живёт?"
    А из latest.php ему отвечают: "Я Заббикс, за процессами слежу в этом скриптике сижу! А ты кто?"
    -- А я Случайный Запрос, toggle_ids не донёс. Можно я с тобой поживу, SQL-код в СУБД пропихну?
    -- Ну заходи, будем вместе жить, процессы сторожить.
    И жили они долго и счастливо до самого kill -9!
     
     
  • 2.2, Аноним, 00:31, 14/08/2016 [^] [ответить] [смотреть все] [показать ветку]
  • +/
    > kill -9

    Слишком добрый!!!  Требую продолжения!!!

     
     
  • 3.5, Аноним, 02:49, 14/08/2016 [^] [ответить] [смотреть все]
  • +/
    Alt-sysrq-b тебе в помощь В мультиках это обычно так ты стоишь себе такой, ла-... весь текст скрыт [показать]
     
  • 1.3, XoRe, 00:36, 14/08/2016 [ответить] [смотреть все]  
  • +/
    Похоже, ветка 2.4.х не подвержена атаке
     
     
  • 2.10, Andrey Mitrofanov, 12:07, 14/08/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Я тебе больще скажу похоже, и 2 0 18 не подвержена Ср 2016-07-22 Zabbix-ann... весь текст скрыт [показать] [показать ветку]
     
  • 1.4, Аноним, 00:44, 14/08/2016 [ответить] [смотреть все]  
  • +/
    Две недели назад у меня отключили сервер мониторинга на публичном IP Якобы за р... весь текст скрыт [показать]
     
     
  • 2.8, Michael Shigorin, 11:16, 14/08/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –5 +/
    Просто к сведению -- в альте версию 3 0 4 собрали ещё несколько раньше, так что ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.9, Andrew, 11:40, 14/08/2016 [^] [ответить] [смотреть все]  
  • +3 +/
    В альте собрали на 3 дня позже, чем пакеты под Ubuntu и Centos, которые появилис... весь текст скрыт [показать]
     
  • 1.7, YetAnotherOnanym, 08:47, 14/08/2016 [ответить] [смотреть все]  
  • +1 +/
    Мда... в 2016 году пыхеры так и не освоили санитизацию запросов.
     
     
  • 2.11, Аноним, 17:37, 14/08/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Google вбросил им как это нужно реализовать https wiki php net rfc sql_injecti... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.12, Аноним, 22:57, 14/08/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Легко реализуется путем NoSQL баз Извините, но SQL слишком много всего умеет В... весь текст скрыт [показать]
     
     
  • 4.13, Мяут, 23:15, 14/08/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Тот же MongoDB имеет язык запросов основанный на JSON Думаю уже набралось немал... весь текст скрыт [показать]
     
     
  • 5.16, Аноним, 03:54, 15/08/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    А если у меня база простая как валенок, понимающая только key и value ассоцииров... весь текст скрыт [показать]
     
     
  • 6.18, www2, 07:47, 15/08/2016 [^] [ответить] [смотреть все]  
  • +/
    Товарищ, потише Думайте, прежде чем говорить Здесь именно это и происходит - в... весь текст скрыт [показать]
     
  • 6.19, КО, 07:54, 15/08/2016 [^] [ответить] [смотреть все]  
  • +/
    То где-то есть программа реализующая логику в которой значения из базы - операнд... весь текст скрыт [показать]
     
  • 6.24, angra, 09:37, 15/08/2016 [^] [ответить] [смотреть все]  
  • +/
    Просто у тебя хакерское воображение отсутсвует как таковое Тут пару дней назад ... весь текст скрыт [показать]
     
  • 4.14, Аноним, 23:48, 14/08/2016 [^] [ответить] [смотреть все]  
  • +/
    https mariadb com sites default files MaxScaleSecuritySolution-100615_600px pn... весь текст скрыт [показать]
     
     
  • 5.17, Аноним, 03:57, 15/08/2016 [^] [ответить] [смотреть все]  
  • –2 +/
    Отличный пример того как сначала люди создают себе проблемы зачем-то научив баз... весь текст скрыт [показать]
     
     
  • 6.20, www2, 07:57, 15/08/2016 [^] [ответить] [смотреть все]  
  • +/
    Ты уверен, что база выполняет какой-то там код СУБД выполняет запросы Если баз... весь текст скрыт [показать]
     
     
  • 7.26, Аноним, 12:07, 15/08/2016 [^] [ответить] [смотреть все]  
  • +/
    Формально, можно было бы разнести DDL и DML, да и в принципе любовь WEB MySQL ... весь текст скрыт [показать]
     
     
  • 8.33, www2, 11:50, 16/08/2016 [^] [ответить] [смотреть все]  
  • +/
    Честно говоря, я не понимаю о ком вы Разработчики Zabbix нигде не делают alter ... весь текст скрыт [показать]
     
  • 6.25, angra, 09:40, 15/08/2016 [^] [ответить] [смотреть все]  
  • +/
    Болезный, ты где на картинке увидел код Если для тебя where это код, то настоят... весь текст скрыт [показать]
     
  • 4.27, DeadLoco, 12:29, 15/08/2016 [^] [ответить] [смотреть все]  
  • +/
    SQL умеет столько, сколько нужно для работы с множествами А что большинство ниа... весь текст скрыт [показать]
     
     ....нить скрыта, показать (14)

  • 1.15, Аноним, 00:36, 15/08/2016 [ответить] [смотреть все]  
  • +/
    Что ни придумают, лишь бы Nagios не пользоваться(
     
     
  • 2.21, www2, 08:03, 15/08/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –2 +/
    В Nagios есть NRPE и это его основное назначение - выполнять команды, которые по... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.23, PavelR, 08:19, 15/08/2016 [^] [ответить] [смотреть все]  
  • +/
    >В Nagios после правки конфига нужно перезапускать весь сервер. Кушайте сами.

    Хороший вброс, но у вас "нипалучилось".

     
     
  • 4.28, www2, 12:32, 15/08/2016 [^] [ответить] [смотреть все]  
  • +/
    Вброс или не вброс, но кушайте сами. Меня Zabbix устраивает вполне. В "ём" есть сложные выражения для триггеров, графики, оповещения, действия, API, разграничение доступа. Ядро умеет очень много. В Nagios что ни надо замониторить, всё внешним плагином делается, который может только сказать хорошо или плохо сейчас. Предыдущее состояние в плагине взять неоткуда. Попробуйте в вашем нагиосе сделать триггер "если среднее значение на хосте A за сутки больше, чем 10% от среднего значения на хосте Б за час, то проблема". Своё хранилище придётся придумывать для хранения данных предыдущих опросов.
     
     
  • 5.34, PavelR, 12:27, 16/08/2016 [^] [ответить] [смотреть все]  
  • +/
    > Вброс или не вброс, но кушайте сами. Меня Zabbix устраивает вполне.

    Устраивает - пользуйтесь.

    >В Nagios после правки конфига нужно перезапускать весь сервер.

    А вот гнать чушь про ПО, которым вы не пользуетесь - не надо.

     
  • 2.22, www2, 08:13, 15/08/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Вот вам вбросик: https://www.opennet.ru/opennews/art.shtml?num=22285
     
  • 2.31, XoRe, 14:38, 15/08/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    > Что ни придумают, лишь бы Nagios не пользоваться(

    Чет я не находил, чтобы nagios мог получать 500 новых значений в секунду.
    А вот zabbix с таким спокойно справляется.

     
     
  • 3.36, anonimous, 06:31, 17/08/2016 [^] [ответить] [смотреть все]  
  • +/
    Это Поллер Zabbix'a за тебя решил.

    Частая ошибка Заббистов, в том что они вначале пробуют мониторинг на слабом железе,
    и Там где Nagios\Icinga2 начинают задыхаться - Zabbix адаптируеться. Итого Zabbix - победиль!

    Дело в том что Icinga2 ( nagios лучше таки выкидывать ) - как то все равно на твое железо.
    Указал ты ей, например, мониторить раз в секунду 500 хостов, где у каждого 500 метрик, - она и будет запускать их каждую секунду. Т.е. 500*500=250000 в секунду. Ну а справиться ли? Зависит от железа. Сервер может вообще зависнуть к х*.

    Хотим офигенный мониторинг, покупаем для него офигенное железо.

    Про всякие там триггреры, где "на одном хосте то, на другом это - непорядок" - пишем в Graphite. ( Icinga2 + Graphite ) Ну а для graphite много приложений умеющих работать с его базой разными функциями и оповещать заодно.

    В целом, сравнивать zabbix и icinga2, тоже самое как сравнивать США и Советский Союз в период разгара холодной войны.

     
  • 1.29, www2, 12:35, 15/08/2016 [ответить] [смотреть все]  
  • +1 +/
    Я посмотрел на эту уязвимость Не знаю, почему, но у меня на 2 4 0 выдаёт такую ... весь текст скрыт [показать]
     
  • 1.30, Коля, 12:54, 15/08/2016 [ответить] [смотреть все]  
  • +/
    заббикс имеет такой дикий говнокод в фронтэнде на пхп, что волосы под мышками становятся дыбом. Этот невинный баг баловство. Там и покруче вещи накопать можно, если нужно.
     
  • 1.32, Alex Emergy, 10:38, 16/08/2016 [ответить] [смотреть все]  
  • +/
    Очень даже не плохо. Панель сделана в духе Windows 7-10. Только непорадовало, что нет индикации, что приложение запущено.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor