漏洞信息详情
Zabbix ‘cURL’ API加密问题漏洞
- CNNVD编号:CNNVD-201301-049
- 危害等级: 中危
- CVE编号: CVE-2012-6086
- 漏洞类型: 加密问题
- 发布时间: 2013-01-05
- 威胁类型: 远程
- 更新时间: 2014-02-07
- 厂 商: zabbix
- 漏洞来源: Alessandro Ghedini
漏洞简介
Zabbix是拉脱维亚Zabbix SIA公司的一套开源的监控系统。该系统可监视各种网络参数,并提供通知机制让系统管理员快速定位、解决存在的各种问题。
Zabbix中的libs/zbxmedia/eztexting.c文件中存在安全漏洞,该漏洞源于程序没有正确设置libcurl库的CURLOPT_SSL_VERIFYHOST选项。攻击者可借助任意有效的证书利用该漏洞实施中间人攻击欺骗SSL服务器。以下版本受到影响:Zabbix 1.8.18rc1之前的1.8.x版本,2.0.8rc1之前的2.0.x版本,2.1.2之前的2.1.x版本。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://support.zabbix.com/browse/ZBX-5924
参考网址
来源: support.zabbix.com
链接:https://support.zabbix.com/browse/ZBX-5924
来源: MLIST
名称: [oss-security] 20130103 Re: CVE request: Curl insecure usage
链接:http://www.openwall.com/lists/oss-security/2013/01/03/1
来源: BID
名称: 57103
链接:http://www.securityfocus.com/bid/57103
受影响实体
- Zabbix Zabbix:1.8.16
- Zabbix Zabbix:1.8.15:Rc1
- Zabbix Zabbix:1.8.10:Rc2
- Zabbix Zabbix:1.8.10:Rc1
- Zabbix Zabbix:2.0.5
补丁
- zabbix-1.8.18rc1
- zabbix-2.1.2
- zabbix-2.0.8rc1
特别声明
本站(ZONE.CI)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
评论