Faille CVE critique Zabbix agent sous Linux Alpine

La mise a jour du paquet zabbix-agent2 sous alpine linux rencontre pour le moment un grave problème de cybersécurité.

La variable $user de zabbix-agent2 n est pas dans le fichier /et/zabbix/zabbix_agent2.conf mais dans systemd. Qui manque de bol est absent d’alpine Linux.

On lance donc l agent en root … ce qui est plutot facheux.

Il est possible d’obtenir un accès root grâce à cette faille CVE dans le client lors du transfert de données via des réseaux publics avec les paramètres par défaut lors de l’utilisation de zabbix-agent2.

Une mise a jour du package est en cours pour alpine linux pour corriger cette faille.

 
Information Valeur

CVE

CVE-2022-22704

CVE publié le

06/01/2022

Score

10

Fuite de données

Critique

Intégrité Système

Critique

Impact sur les ressources

Critique

Compléxité

Facile

Authentification requise

Non