개요
Zabbix 서버 제품의 취약점을 해결하는 업데이트를 발표하였습니다. 해당하는 버전의 사용자는 최신 버전으로 업데이트하시기 바랍니다.
대상 제품
CVE-2024-22116
- Zabbix 서버 버전: 6.4.0(포함) ~ 6.4.15(포함)
- Zabbix 서버 버전: 7.0.0alpha1(포함) ~ 7.0.0rc2(포함)
CVE-2024-36461
- Zabbix 서버 버전: 6.0.0(포함) ~ 6.0.30(포함)
- Zabbix 서버 버전: 6.4.0(포함) ~ 6.4.15(포함)
- Zabbix 서버 버전: 7.0.0alpha1(포함) – 7.0.0(포함)
해결된 취약점
권한이 제한된 관리자가 모니터링 호스트 섹션 내의 스크립트 실행 기능을 악용할 수 있는 취약점(CVE-2024-22116)
Zabbix 내에서 사용자가 JavaScript 엔진에서 메모리 포인터를 직접 수정할 수 있는 취약점(CVE-2024-36461)
취약점 패치
최신 업데이트를 통해 제품별 취약점 패치가 다음과 같이 제공되었습니다. 참고 사이트[1] 의 안내에 따라 최신 취약점 패치 버전으로 업데이트 하시기 바랍니다.
CVE-2024-22116
- Zabbix 서버 버전: 6.4.16rc1
- Zabbix 서버 버전: 7.0.0rc3
CVE-2024-36461
- Zabbix 서버 버전: 6.0.31rc1
- Zabbix 서버 버전: 6.4.16rc1
- Zabbix 서버 버전: 7.0.1rc1
참고사이트
[1] Remote code execution within ping script (CVE-2024-22116)
https://support.zabbix.com/browse/ZBX-25016
[2] Direct access to memory pointers within the JS engine for modification (CVE-2024-36461)