ГлавнаяБаза уязвимостей БДУ → BDU:2024-06936
9высокая

BDU:2024-06936 (CVE-2023-32724)

Уязвимость универсальной системы мониторинга Zabbix, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
Опубликовано: 2024-09-13
Описание

Уязвимость универсальной системы мониторинга Zabbix связана с неправильным присвоением разрешений для критичного ресурса. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Debian GNU/Linux (10)Debian GNU/Linux (11)Debian GNU/Linux (12)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)РОСА ХРОМ (12.4)Zabbix (от 5.0.0 до 5.0.36 включительно)Zabbix (от 6.0.0 до 6.0.20 включительно)Zabbix (от 6.4.0 до 6.4.5 включительно)АЛЬТ СП 10ОСОН ОСнова Оnyx (до 2.11)Zabbix (от 7.0.0-alpha1 до 7.0.0-alpha3 включительно)ROSA Virtualization 3.0 (3.0)
Способ устранения

Для Zabbix:
использование рекомендаций производителя: https://support.zabbix.com/browse/ZBX-23391
Для Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2023-32724
Для ОС Astra Linux:
обновить пакет zabbix до 1:6.0.29+dfsg-1+ci202405271621+astra7 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для ОСОН ОСнова Оnyx: Обновление программного обеспечения zabbix до версии 1:6.0.29+dfsg-1osnova1

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет zabbix до 1:6.0.29+dfsg-1+ci202405271621+astra7 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2024-2539

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2690

Оценка CVSS
Балл9 — высокая опасность
Источники и патчи
https://github.com/zabbix/zabbix/commit/7266d0ac709b68ccb4d69d28253488670b8b4eb7https://github.com/zabbix/zabbix/commit/b28bf2f7081cffaeecbfb797d6e625e72679c06ehttps://nvd.nist.gov/vuln/detail/CVE-2023-32724https://security-tracker.debian.org/tracker/CVE-2023-32724https://support.zabbix.com/browse/ZBX-23391https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17https://altsp.su/obnovleniya-bezopasnosti/https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.11/
Проверьте безопасность своего сайта и почты → Полная проверка домена