MIRACLE ZBX 2.2.6-2
MIRACLE ZBX 2.2.6-2
2014/11/07
- アクション時に、スクリプトタイプのメディアを使用したアクションを実行する場合、『`』、『$』、『~』、『@』などの特殊文字がエスケープさ れずに /bin/sh へ渡されるため、アクションの文面にこれらの特殊文字が存在する場合にコマンドインジェクトされる可能性のあった問題を修正 (ZBX-4529)
コマンドインジェクトされた場合は、zabbix-server を実行しているマシンにおいて zabbix ユーザー権限で任意のコマンドが実行可能になります。
{ITEM.VALUE} などのマクロを使用した外部からの入力をアクションの文面に表示される設定をしていない場合は、外部からコマンドインジェクトされる可能性はありません。 - パッケージバージョン表記を "zabbix-2.2.6-2ML6.x86_64.rpm" を "zabbix-2.2.6-2.ML6.x86_64.rpm" のように、OS 名の前に "." を入れる形式へ変更