ALT-BU-2024-4330-1
Branch p10_e2k update bulletin.
Closed vulnerabilities
BDU:2023-09066
Уязвимость файла cookie zbx_session универсальной системы мониторинга Zabbix, позволяющая нарушителю повысить свои привилегии
BDU:2024-00033
Уязвимость функции icmpping универсальной системы мониторинга Zabbix, позволяющая нарушителю выполнить произвольный код
BDU:2024-00645
Уязвимость компонента DNS Response Handler агента универсальной системы мониторинга Zabbix, позволяющая нарушителю вызвать переполнение буфера
Modified: 2024-11-21
CVE-2023-32725
The website configured in the URL widget will receive a session cookie when testing or executing scheduled reports. The received session cookie can then be used to access the frontend as the particular user.
Modified: 2024-11-21
CVE-2023-32726
The vulnerability is caused by improper check for check if RDLENGTH does not overflow the buffer in response from DNS server.
- https://lists.debian.org/debian-lts-announce/2024/01/msg00012.html
- https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/BYSYLA7VTHR25CBLYO5ZLEJFGU7HTHQB/
- https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/UMFKNV5E4LG2DIZNPRWQ2ENH75H6UEQT/
- https://support.zabbix.com/browse/ZBX-23855
- https://lists.debian.org/debian-lts-announce/2024/01/msg00012.html
- https://support.zabbix.com/browse/ZBX-23855
- https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/UMFKNV5E4LG2DIZNPRWQ2ENH75H6UEQT/
- https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/BYSYLA7VTHR25CBLYO5ZLEJFGU7HTHQB/
Modified: 2024-11-21
CVE-2023-32727
An attacker who has the privilege to configure Zabbix items can use function icmpping() with additional malicious command inside it to execute arbitrary code on the current Zabbix server.
Modified: 2024-11-21
CVE-2023-32728
The Zabbix Agent 2 item key smart.disk.get does not sanitize its parameters before passing them to a shell command resulting possible vulnerability for remote code execution.
Modified: 2024-11-21
CVE-2024-22119
The cause of vulnerability is improper validation of form input field “Name” on Graph page in Items section.
Package alterator-logs updated to version 0.9.3-alt1 for branch p10_e2k.
Closed bugs
Сбивается показ количества строк в ЦУС -> Система -> Системные Журналы при переключении журналов
Package rpm-build-vm updated to version 1.65-alt2 for branch p10_e2k.
Closed bugs
"expected to fail" tests fail on unsupported architecture
Closed bugs
epm play flyview-client: find-requires: ERROR: /usr/lib/rpm/lib.req failed
Перестал работать автозапуск Skype
epm play wpsoffice: ошибка сегментирования при запуске приложения
epm play vinteo.desktop: программа не устанавливается
epm play netbeans: программа не устанавливается
Проблемы с установкой пакета hplip-plugin через appinstall
epm play lycheeslicer: программа не устанавливается
epm play synology-drive: проблемы с установкой программы
Не устанавливается Yandex Browser
Некорректная работа epm downgrade
Некорректная установка пакета после перепаковки с помощью eepm