双男主刺激战场视频_成人做爰黄aa片啪啪声_亚洲视频无码在线看_经典成人三级在线不卡

安全公告編號:CNTA-2016-0036

近日，國家信息安全漏洞共享平臺（CNVD）收錄了zabbix存在的SQL注入漏洞（CNVD-2016-06408）。攻擊者利用漏洞無需授權登錄即可控制zabbix管理系統(tǒng)，或通過script等功能直接獲取zabbix服務器的操作權限，進而有可能危害到用戶單位整個網(wǎng)絡系統(tǒng)的運行安全。由于zabbix服務器在境內應用較為廣泛，有可能誘發(fā)較高的大規(guī)模攻擊風險。

一、漏洞情況分析

zabbix是一個基于WEB界面的提供分布式系統(tǒng)監(jiān)視以及網(wǎng)絡監(jiān)視功能的企業(yè)級開源解決方案。?由于zabbix默認開啟了guest權限，且默認密碼為空，導致zabbix的jsrpc中profileIdx2參數(shù)存在insert方式的SQL注入漏洞。攻擊者利用漏洞無需登錄即可獲取網(wǎng)站數(shù)據(jù)庫管理員權限，或通過script等功能直接獲取zabbix服務器的操作系權限。CNVD對該漏洞的綜合評級為“高危”。

二、漏洞影響范圍

漏洞影響較低版本zabbix系統(tǒng)，如已經(jīng)確認的2.2.x, 3.0.0-3.0.3版本。根據(jù)CNVD初步普查情況，約有3.5萬臺zabbix服務器暴露在互聯(lián)網(wǎng)上，其中排名TOP 5的國家和地區(qū)如下：中國（24.9%）、美國（18.8%）、俄羅斯（9.0%）、巴西（8.0%）、德國（5.4%），在中國境內排名TOP5的省份為：北京（32.6%）、浙江（23.2%）、廣東（11.4%）、上海（7.8%）、江蘇（4.3%）。同時，根據(jù)CNVD抽樣測試結果（樣本數(shù)量>500），zabbix服務器受漏洞直接影響（驗證可攻擊成功）的比例為34.8%，影響比例較高。通過對比發(fā)現(xiàn)，在不受漏洞影響的服務器樣本中，有一部分服務器Header字段中不存在zbx_sessionid信息，對于防范攻擊有一定的幫助。

三、漏洞修復建議

用戶可通過禁用guest賬戶緩解該漏洞造成的威脅。目前，廠商已發(fā)布新版本修復此漏洞，CNVD建議用戶關注廠商主頁，升級到最新版本。

附：參考鏈接：

https://support.zabbix.com/browse/ZBX-11023

http://www.zabbix.com/download.php（官方下載頁面）

http://www.cnvd.org.cn/flaw/show/CNVD-2016-06408

（注：CNVD成員單位綠盟科技公司、杭州安恒公司向秘書處提供了漏洞原理分析情況）