ZabbixにCVSS 9.9の「緊急」の脆弱性が見つかる 速やかなアップデートが必要:セキュリティニュースアラート
監視ソリューション「Zabbix」に深刻な脆弱性があると公表した。CVE-2024-22116と特定されたこの脆弱性はリモートコード実行を可能にし、システム全体の安全が脅かされる。緊急のアップデートが推奨されている。
Zabbixは2024年8月9日(現地時間)、監視ソリューション「Zabbix」に深刻な脆弱(ぜいじゃく)性があると伝えた。この脆弱性が悪用された場合、リモートコード実行の攻撃を受け、システム全体が危険にさらされる可能性がある。
Zabbixはネットワークやサーバ、仮想マシン、クラウドサービスなどのITインフラ全体をリアルタイムで監視し、パフォーマンスデータを収集・分析するオープンソースの監視ソフトウェアだ。シンプルなアプリケーションから大規模なインフラまで、さまざまなITリソースを監視するために利用されている。
ZabbixにCVSS 9.9の脆弱性 急ぎアップデートを
今回報告された脆弱性は「CVE-2024-22116」として特定されている。共通脆弱性評価システム(CVSS)v3.1のスコア値は9.9で深刻度「緊急」(Critical)に分類されている。
影響を受けるバージョンでは制限された権限を持つ管理者でも、監視しているホストでスクリプト実行機能を悪用できる可能性がある。スクリプトパラメーターがデフォルトでエスケープされていないため、攻撃者がPingスクリプトを使って任意のコードを実行してインフラ全体を危険にさらすことが可能とされている。
影響を受けるとされるZabbixのバージョンは以下の通りだ。
- Zabbix 6.4.0から6.4.15までのバージョン
- Zabbix 7.0.0alpha1から7.0.0rc2までのバージョン
修正されたZabbixのバージョンは以下の通りだ。
- Zabbix 6.4.16rc1
- Zabbix 7.0.0rc3
CVE-2024-22116が解決されないままだとシステム全体が攻撃者に乗っ取られる可能性があり、甚大な被害を招くリスクとなる。影響を受ける製品を使用している場合、問題が修正されたバージョンに速やかにアップデートすることが強く推奨されている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
半田病院を襲ったランサムウェア被害 当時者が語る「生々しい被害実態」と「教訓」
2021年10月、徳島県つるぎ町立半田病院の電子カルテシステムが停止し、プリンタからは犯行声明が印刷された。のちに世間を大きく注目されることになるランサムウェア被害から同院はどう復旧したのか。生々しい実態を当事者が語った。
ソニーミュージックグループはセキュリティ素人ばかりの組織で、なぜ内製にこだわったか?
ソニーミュージックグループは「人なし」「金なし」「時間なし」の状態からインシデント被害を乗り越えてどのようにセキュリティ組織を構築したのか。本稿はその事例を紹介する。
Windowsのセキュリティパッチを全て巻き戻すゼロデイ脆弱性が見つかる
SafeBreachはWindowsに複数のゼロデイ脆弱性を発見したと発表した。これらの脆弱性は「Windows Downdate」と呼ばれ、悪用されると修正パッチがロールバックされる恐れがある。
スマートフォン時代、クラウド時代? いやいや今は“アカウント時代”だ
クラウドに重要データを保存するのが当たり前になった今、ユーザーが大事な情報を守るためにはクラウドにアクセスするアカウントをまず保護するのが先決です。本コラムはそのためのはじめの一歩を紹介します。