Aqui na Zabbix, a segurança de nosso produto tem prioridade máxima. Por isso, viemos trazer novidades sobre uma questão levantada na última semana.
Chegou ao conhecimento da equipe técnica que duas potenciais CVE – CVE-2022-23131 e CVE-2022-23134 – causaram problemas aos usuários, que relataram bugs que afetaram a segurança da aplicação.
É importante mencionar que o problema mais crítico (CVE-2022-23131) afeta apenas instâncias Zabbix que possuem autenticação SAML SSO em uso. Isso significa que, embora crítico, é restrito somente a quem possui SAML SSO ativado.
No caso da CVE-2022-23134, afeta as versões 5.4.x que precedem a versão do Zabbix 5.4.9.
Estamos cientes dessas vulnerabilidades e ressaltamos que as questões de segurança foram corrigidas desde a versão do Zabbix 5.4.9, e na versão estável do Zabbix 6.0 LTS, lançado recentemente.
Confira os detalhes dos erros:
- CVE-2022-23131 – Armazenamento de sessão insegura do lado do Client levando a bypass de autenticação/tomada de controle da instância via Zabbix Frontend com SAML configurado.
Versões afetadas: 5.4.0 – 5.4.8; 6.0.0alpha1
- CVE-2022-23134 – Possível visualização das páginas de Setup por usuários não autenticados caso arquivos de configuração já existam.
Versões afetadas: 5.4.0 – 5.4.8; 6.0.0 – 6.0.0beta1
Pedimos a todos aqueles que fazem uso da feature de autenticação SAML SSO que atualizem a instância Zabbix para uma das versões atualizadas, que mencionamos anteriormente.
Aproveitamos para sinalizar que temos uma área dedicada à segurança do produto, mas é fundamental que nossos clientes e usuários revisem as versões ativas em uso e estejam atualizados de acordo com as recomendações.
Em caso de necessidade de apoio para migração e atualização das versões, lembramos que é fundamental buscar parceiros oficialmente credenciados no Programa de Parceria da Zabbix,
Apenas com o uso dos serviços promovidos por nossos parceiros certificados podemos garantir a melhor utilização de Zabbix.
Se você utiliza Zabbix e possui registro na plataforma de suporte do Zabbix. Através desse canal, é possível realizar o registro da ocorrência de vulnerabilidades e/ou bugs encontrados durante o uso.
É válido sempre conferir a nossa plataforma de atualizações sobre correções de segurança antes de reportar um novo erro, que pode até mesmo estar solucionado – como é o caso das vulnerabilidades ressaltadas nos últimos dias.
Para mais informações sobre quaisquer potenciais problemas de segurança do Zabbix, versões afetadas e updates necessários, visite nossa página Zabbix Security Advisories and CVE.