Aquí en Zabbix, la seguridad de nuestro producto tiene prioridad máxima. Por eso, traemos novedades sobre un tema tratado en la última semana.
Nuestro equipo técnico se enteró que dos potenciales CVE – CVE-2022-23131 y CVE-2022-23134 – causaron problemas a los usuarios, que reportaron bugs que afectaron a la seguridad de la aplicación.
Es importante mencionar que el problema más crítico (CVE-2022-23131) afecta a penas instancias Zabbix que poseen autenticación SAML SSO en uso. Eso significa que, aún crítico, es restricto únicamente a quien posee SAML SSO activo.
En el caso de la CVE-2022-23134, afecta a las versiones 5.4.x que preceden la versión de Zabbix 5.4.9.
Estamos enterados de esas vulnerabilidades y resaltamos que los temas de seguridad ya fueron corregidos en diciembre del 2021, desde la versión de Zabbix 5.4.9, y en la versión estable de Zabbix 6.0 LTS, lanzada recientemente.
Entiende los detalles de los errores:
- CVE-2022-23131 – Almacenamiento de sesión insegura de lado del Client llevando a bypass de autenticación/toma de control de la instancia vía Zabbix Frontend con SAML configurado.
Versiones afectadas: 5.4.0 – 5.4.8; 6.0.0alpha1
- CVE-2022-23134 – Posible visualización de las páginas de Setup por usuarios no autenticados en caso de que ya existan archivos de configuración.
Versiones afectadas: 5.4.0 – 5.4.8; 6.0.0 – 6.0.0beta1
Les pedimos a todos aquellos que utilizan la feature de autenticación SAML SSO que actualicen la instancia Zabbix para una de las versiones actualizadas, que mencionamos anteriormente.
Aprovechamos para señalar que tenemos a un área dedicada a la seguridad del producto, pero es fundamental que nuestros clientes y usuarios revisen las versionas activas en uso y estén actualizados acorde a las recomendaciones.
En caso de necesidad de apoyo para migración y actualización de las versiones, les recordamos que es fundamental buscar a partners oficialmente acreditados en el Programa de Partnership de Zabbix,
A penas con el uso de los servicios promovidos por nuestros partners certificados podemos garantizar la mejor utilización de Zabbix.
Si utilizas Zabbix y tienes registro en la plataforma de suporte de Zabbix. A través de ese canal, es posible realizar el registro de la ocurrencia de vulnerabilidades y/o bugs encontrados durante el uso.
Es válido siempre revisar nuestra plataforma de actualizaciones sobre correcciones de seguridad antes de reportar un nuevo error, que pudo ya haber sido solucionado – como el caso de las vulnerabilidades resaltadas en los últimos días.
Para más informaciones sobre cualquier problema potencial de seguridad de Zabbix, versiones afectadas y updates necesarios, visita nuestra página Zabbix Security Advisories and CVE.