ГлавнаяБаза уязвимостей БДУ → BDU:2024-10866
9высокая

BDU:2024-10866 (CVE-2024-36466)

Уязвимость механизма аутентификации Single sign-on (SSO) универсальной системы мониторинга Zabbix, позволяющая нарушителю обойти существующие ограничения безопасности и повысить свои привилегии
Опубликовано: 2024-12-06
Описание

Уязвимость механизма аутентификации Single sign-on (SSO) универсальной системы мониторинга Zabbix связана с обходом аутентификации посредством спуфинга. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти существующие ограничения безопасности и повысить свои привилегии с помощью специально созданного подписанного cookie-файла zbx_session

Затрагиваемое ПО и версии
Debian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)АЛЬТ СП 10Astra Linux Special Edition (1.8)Zabbix (от 6.0.0 до 6.0.32rc1)Zabbix (от 6.4.0 до 6.4.17rc1)Zabbix (от 7.0.0 до 7.0.1rc1)Astra Linux Special Edition (3.8)
Способ устранения

Использование рекомендаций:
Для Zabbix;
https://support.zabbix.com/browse/ZBX-25635
https://github.com/zabbix/zabbix/commit/6e39148b7361312f730d87e4438f692a2c39d07e
https://github.com/zabbix/zabbix/commit/48e7615d1e1e3a5f543505cc6cb0a5564a655b58

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-36466

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Компенсирующие меры:
- отключение механизма аутентификации Single sign-on (SSO);
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа к уязвимому программному обеспечению;
- отключение/удаление неиспользуемых учётных записей пользователей уязвимого программного обеспечения;
- минимизация привилегий пользователей.

Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MD

Для ОС Astra Linux:
обновить пакет zabbix до 1:7.0.5+dfsg-1~bpo12+1+ci202412201414+astra10 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17

Для ОС Astra Linux:
обновить пакет zabbix до 1:7.0.5+dfsg-1~bpo12+1+ci202412201414+astra10 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47

Для ОС Astra Linux:
обновить пакет zabbix до 1:7.0.10+dfsg-2+ci6 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se38-bulletin-2026-0126SE38

Для ОС Astra Linux:
обновить пакет zabbix до 1:7.0.10+dfsg-2+ci6 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se38-bulletin-2026-0126SE38

Оценка CVSS
Балл9 — высокая опасность
Источники и патчи
https://support.zabbix.com/browse/ZBX-25635https://security-tracker.debian.org/tracker/CVE-2024-36466https://vuldb.com/?id.286340https://www.zabbix.com/documentation/current/en/manual/apihttp://repo.red-soft.ru/redos/7.3c/x86_64/updates/https://altsp.su/obnovleniya-bezopasnosti/https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MDhttps://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17
Проверьте безопасность своего сайта и почты → Полная проверка домена