漏洞信息详情
Zabbix 'get_history_lastid()' SQL注入漏洞
- CNNVD编号:CNNVD-200912-427 <!--
- 危害等级: 高危-->
- 危害等级: 高危
- CVE编号: CVE-2009-4499
- 漏洞类型: SQL注入
- 发布时间: 2009-12-31
- 威胁类型: 远程
- 更新时间: 2010-01-01
- 厂 商: zabbix
- 漏洞来源:
-
漏洞简介
Zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。
Zabbix Server的nodewatcher组件中的get_history_lastid函数中存在SQL注入漏洞。远程攻击者可以借助一个与zabbix_server/trapper/nodehistory.c中的send_history_last_id函数有关的特制请求,导致执行任意代码。
漏洞公告
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
http://www.zabbix.org/
参考网址
来源: support.zabbix.com
链接:https://support.zabbix.com/browse/ZBX-1031
来源: VUPEN
名称: ADV-2009-3514
链接:http://www.vupen.com/english/advisories/2009/3514
来源: BUGTRAQ
名称: 20091213 Zabbix Server : Multiple remote vulnerabilities
链接:http://www.securityfocus.com/archive/1/508436/30/60/threaded
来源: SECUNIA
名称: 37740
链接:http://secunia.com/advisories/37740
受影响实体
- Zabbix Zabbix:1.1.3<!--2000-1-1-->
- Zabbix Zabbix:1.1.4<!--2000-1-1-->
- Zabbix Zabbix:1.1.5<!--2000-1-1-->
- Zabbix Zabbix:1.4.2<!--2000-1-1-->
- Zabbix Zabbix:1.4.3<!--2000-1-1-->
补丁
暂无
还没有评论,来说两句吧...