[Fedora] Schwachstelle in ZABBIX – FEDORA-2011-10601

[Fedora] Schwachstelle in ZABBIX - FEDORA-2011-10601

Von

—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.

ZABBIX ist eine Software die verschiedene Parameter eines Netzwerks oder
die Integritaet eines Servers ueberwacht.

CVE-2011-2904 – Schwachstelle in ZABBIX

In der Datei acknow.php wird die Variable “backurl” einer HTTP-Anfrage
nicht korrekt gefiltert. Dadurch ist es einem Angreifer moeglich, der
mittels eines Proxies den Parameter fuer die Anfrage ausliest,
beliebigen Script-Code einzuschleusen und zur Ausfuehrung zu bringen.
Dies kann zum Durchfuehren eines Cross-site-Scripting-Angriff genutzt
werden.

Betroffen sind die folgenden Software Pakete und Plattformen:

Paket zabbix

Fedora 14
Fedora 15

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
Timo Schulz

– —
Timo Schulz, M.Sc. (Incident Response Team)

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

Automatische Warnmeldungen: https://www.cert.dfn.de/autowarn

– ——————————————————————————–
Fedora Update Notification
FEDORA-2011-10601
2011-08-10 03:01:23
– ——————————————————————————–

Name : zabbix
Product : Fedora 14
Version : 1.8.6
Release : 1.fc14
URL : http://www.zabbix.com/
Summary : Open-source monitoring solution for your IT infrastructure
Description :
ZABBIX is software that monitors numerous parameters of a network and
the health and integrity of servers. ZABBIX uses a flexible
notification mechanism that allows users to configure e-mail based
alerts for virtually any event. This allows a fast reaction to server
problems. ZABBIX offers excellent reporting and data visualisation
features based on the stored data. This makes ZABBIX ideal for
capacity planning.

ZABBIX supports both polling and trapping. All ZABBIX reports and
statistics, as well as configuration parameters are accessed through a
web-based front end. A web-based front end ensures that the status of
your network and the health of your servers can be assessed from any
location. Properly configured, ZABBIX can play an important role in
monitoring IT infrastructure. This is equally true for small
organisations with a few servers and for large companies with a
multitude of servers.

– ——————————————————————————–
Update Information:

– – update to 1.8.6
– – upstream changelog at http://www.zabbix.com/rn1.8.6.php

– ——————————————————————————–
ChangeLog:

* Tue Aug 9 2011 Dan Horák – 1.8.6-1
– – updated to 1.8.6 (#729164, #729165)
– – updated user/group adding scriptlet
* Mon May 23 2011 Dan Horák – 1.8.5-2
– – include /var/lib/zabbix and /etc/zabbix/externalscripts dirs in package (#704181)
– – add snmp trap receiver script in package (#705331)
* Wed Apr 20 2011 Dan Horák – 1.8.5-1
– – updated to 1.8.5
* Tue Jan 18 2011 Dan Horák – 1.8.4-2
– – enable libcurl detection (#670500)
* Tue Jan 4 2011 Dan Horák – 1.8.4-1
– – updated to 1.8.4
– – fixes zabbix_agent fail to start on IPv4-only host (#664639)
* Tue Nov 23 2010 Dan Horák – 1.8.3-3
– – zabbix emailer doesn’t handle multiline responses (#656072)
– ——————————————————————————–
References:

[ 1 ] Bug #729162 – CVE-2011-2904 zabbix: improper input sanitization leads to XSS
https://bugzilla.redhat.com/show_bug.cgi?id=729162
– ——————————————————————————–

This update can be installed with the “yum” update program. Use
su -c ‘yum update zabbix’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.

All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
– ——————————————————————————–

—–BEGIN PGP SIGNATURE—–
Version: GnuPG v2.0.16 (GNU/Linux)

iQEcBAEBAgAGBQJOTNCQAAoJEJtyb8U7iGZBTNwH/1OlG/1OvFdp6k9HUi9Fcv2q
L1NeixiOLeEu4SyvuKn+rOJ1T7VslIjc14julFlyAcIhxWzy66fYQI5+Uj0a1ljT
YnVNJxJiCeTZnE7PYK8SfqpiUgCcXCmfND87JvcHhZ5vUzs3UwReACr6iqOm66F2
kVvkr26fibK+544NmusyWKOhizWanO7m5HVpUlWMz4+kejZ49QNUSljlJLCWUagd
uHZUbRlibq7DxbPjMWD08JQVBA/Fo8G8CHU6Oh2YwNPs8jDC1F75SB2WB9laekNp
aiqKuk54Lx+Ze2yuyfHfp0mRo6oulp/+26Cgc8MizRD2/MmByOosLIDVG0PuvBs=
=3EpY
—–END PGP SIGNATURE—–

© COMPUTEC MEDIA GmbH
Nach oben