ГлавнаяБаза уязвимостей БДУ → BDU:2023-09101
7.8высокая

BDU:2023-09101 (CVE-2023-29450)

Уязвимость универсальной системы мониторинга Zabbix, связанная с использованием файлов и каталогов, доступных внешним сторонам, позволяющая нарушителю получить доступ к конфиденциальным данным
Опубликовано: 2023-12-26
Описание

Уязвимость универсальной системы мониторинга Zabbix связана с использованием файлов и каталогов, доступных внешним сторонам. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.6 «Смоленск»)Debian GNU/Linux (10)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Debian GNU/Linux (11)Debian GNU/Linux (12)Альт 8 СПAstra Linux Special Edition (4.7)РОСА ХРОМ (12.4)Zabbix (до 5.0.33 включительно)Zabbix (от 6.0.0 до 6.0.15 включительно)Zabbix (от 6.4.0 до 6.4.1 включительно)Zabbix (от 6.4.3 до 6.4.4 включительно)ОСОН ОСнова Оnyx (до 2.11)
Способ устранения

Для Zabbix:
использование рекомендаций производителя: https://github.com/zabbix/zabbix/commit/76f6a80cb
https://github.com/zabbix/zabbix/commit/c3f1543e4
https://support.zabbix.com/browse/ZBX-22588

Для Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2023-29450

Для ОС Astra Linux:
обновить пакет zabbix до 1:4.0.4+dfsg-1+deb10u2+ci202309281655+astra5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для Astra Linux Special Edition 4.7:
обновить пакет zabbix до 1:6.0.14+dfsg-1~bpo11+1+ci202307121912+astra4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47

Для ОСОН ОСнова Оnyx (2.11):
Обновление программного обеспечения zabbix до версии 1:6.0.29+dfsg-1osnova1

Для ОС Astra Linux:
обновить пакет zabbix до 1:4.0.4+dfsg-1+deb10u2+ci202309281655+astra5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20241206SE81

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2024-2539

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://github.com/zabbix/zabbix/commit/76f6a80cbhttps://github.com/zabbix/zabbix/commit/c3f1543e4https://nvd.nist.gov/vuln/detail/CVE-2023-29450https://security-tracker.debian.org/tracker/CVE-2023-29450https://support.zabbix.com/browse/ZBX-22588https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16https://altsp.su/obnovleniya-bezopasnosti/https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47
Проверьте безопасность своего сайта и почты → Полная проверка домена