Bulletin d'alerte Debian

DLA-2631-1 zabbix -- Mise à jour de sécurité pour LTS

Date du rapport :
21 avril 2021
Paquets concernés :
zabbix
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 935027, Bogue 966146.
Dans le dictionnaire CVE du Mitre : CVE-2019-15132, CVE-2020-15803.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Zabbix, une solution de supervision réseau. Un attaquant peut lister les utilisateurs autorisés ou rediriger les liens externes à travers le frontal web de zabbix.

  • CVE-2019-15132

    Zabbix permet de lister les utilisateurs. Avec des requêtes de connexion, il est possible d’énumérer les noms d’utilisateur d’application en se basant sur la variabilité des réponses de serveur (par exemple, les messages Nom de connexion ou mot de passe incorrect et Accès au système non autorisé ou simplement le blocage pour quelques secondes). Cela affecte à la fois api_jsonrpc.php et index.php.

  • CVE-2020-15803

    Zabbix permet de stocker un script intersite dans un composant d’URL. Ce correctif avait été abandonné par erreur dans la publication précédente 1:3.0.31+dfsg-0+deb9u1.

Cette mise à jour fournit aussi plusieurs corrections de bogues et plusieurs améliorations. Pour plus d’informations, veuillez vous référer au journal de modifications de l’amont.

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 1:3.0.32+dfsg-0+deb9u1.

Nous vous recommandons de mettre à jour vos paquets zabbix.

Pour disposer d'un état détaillé sur la sécurité de zabbix, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/zabbix.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.