Netzwerk-Monitoring: Zabbix behebt schwere Sicherheitslücken
In verschiedenen Komponenten der Monitoringsoftware Zabbix klafften kritische Sicherheitslücken, die Angreifern die Ausführung eigenen Codes ermöglichen.
(Bild: Gorodenkoff/Shutterstock.com)
Zabbix ist eine umfangreiche Software zur Überachungvon Servern, Netzwerken und anderen IT-Infrastruktur-Komponenten. Im Zabbix-Server, der Agentensoftware, aber auch in der API, Proxy und Web-Frontend klaffen schwere bis kritische Sicherheitslücken, die Angreifern im schlimmsten Fall die Ausführung eigenen Codes ermöglichen.
Einschleusen von Code an drei Stellen möglich
Der gefährlichste Schnitzer (CVE-2023-29453, CVSS 9.8/10, Risiko "kritisch") betrifft den in Go geschriebenen Zabbix-Agent 2 und ist ein vom Go-Projekt geerbtes Problem. Dieses hatte im Frühjahr ein Fehlverhalten in seinem Template-Parser behoben, mithilfe dessen Angreifer eigenen Javascript-Code in Go-Templates einschleusen konnten. Auch die noch in C geschriebene Vorgängerversion des Agenten bekommt ihr Fett weg: Beim Parsen von JSON-Dateien entsteht ein Buffer Overflow (CVE-2023-32722, CVE 9.6/10, "kritisch") der ebenfalls zur Ausführung unerwünschten Programmcodes führen kann. Da das fehlerhafte JSON-Modul auch im Zabbix-Server und -Proxy verbaut ist, betrifft der Pufferüberlauf diese Komponenten ebenfalls.
Zudem findet sich im Proxy und im Server eine Möglichkeit für Zabbix-Nutzer, durch direkte Speicherzugriffe Code einzuschleusen. Der mit CVE-2023-32724 bezeichnete Fehler wird vom Entwicklerteam ebenfalls als "kritisch" eingestuft und hat 9.1 von 10 CVSS-Punkten.
Netzwerk-Karten mit "Bonus-Inhalt"
Das Frontend der Monitoring-Software prüft die Nutzerberechtigungen nicht korrekt (CVE-2023-32723, CVSS 8.5/10, "hoch") und erlaubt eine Server-Side Request Forgery, also das Fälschen von Anfragen durch den Angreifer. In der Funktion, die Netzwerk-Karten per Weboberfläche oder API ausgibt, verbirgt sich außerdem eine persistente Cross-Site-Scripting-Lücke bei der Verarbeitung spezieller URLs. Mithilfe dieses "stored XSS" (CVE-2023-32721, CVSS 7.6/10, "hoch") könnten Angreifer dem Browser eines Netzwerk-Admins bösartigen Javascript-Code unterschieben.
Die Sicherheitslücken betreffen praktisch alle derzeit durch das Projekt gepflegten Versionsbäume von Version 4 bis zur brandneuen Alpha-Ausgabe 7. Administratoren, die Zabbix in einer der Versionen 4.0.47, 4.4.7, 5.0.36, 6.0.20, 6.4.5 oder 7.0.0alpha3 oder älter einsetzen, sollten auf jeden Fall zügig die bereitstehenden Updates einspielen. Die jeweils aktuellen fehlerbereinigten Ausgaben der Monitoring-Lösung tragen die Versionsnummern 4.0.48rc1, 4.4.8rc1, 5.0.37rc1, 6.0.21rc1, 6.4.6rc1 respektive 7.0.0alpha4, einige Fehler sind jedoch auch in älteren Versionen bereits ausgeräumt. Wer die Installation von "Release Candidates" scheut, sollte sich auf der Sicherheits-Übersichtsseite des Projekts informieren.
Zabbix, das im Vergleich zu Lösungen wie Prometheus lange als altbacken galt, hatte vergangenes Jahr mit Version 6 zu den hipperen Konkurrenten aufschließen wollen und alle Bereiche der Software modernisiert.
(cku)
