LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2019 / Informations sur la sécurité -- DLA-1708-1 zabbix

Bulletin d'alerte Debian

DLA-1708-1 zabbix -- Mise à jour de sécurité pour LTS

Date du rapport :

11 mars 2019

Paquets concernés :

zabbix

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2016-10742, CVE-2017-2826.

Plus de précisions :

Plusieurs vulnérabilités de sécurité ont été découvertes dans Zabbix, une solution de surveillance réseau pour serveurs et clients.

• CVE-2016-10742

  Zabbix permettait à des attaquants distants de rediriger vers des liens externes en utilisant à mauvais escient le paramètre de requête.

• CVE-2017-2826

  Une vulnérabilité de divulgation d'informations existe dans la requête de mandataire iConfig du serveur Zabbix. Une requête de mandataire iConfig spécialement contrefaite peut faire que le serveur Zabbix envoie les informations de configuration de n’importe quel mandataire Zabbix, aboutissant à une divulgation d'informations. Un attaquant peut faire des requêtes à partir d’un mandataire Zabbix actif pour déclencher cette vulnérabilité.

Cette mise à jour inclut aussi plusieurs corrections de bogue et améliorations. Pour plus d’informations, veuillez vous référer au journal de modifications de l’amont.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 1:2.2.23+dfsg-0+deb8u1.

Nous vous recommandons de mettre à jour vos paquets zabbix.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.