近期zabbix出现一个漏洞。zabbix的jsrpc的profileIdx2参数存在insert方式的SQL注入漏洞,攻击者无需授权登陆即可登陆zabbix管理系统,也可通过script等功能轻易直接获取zabbix服务器的操作系统权限。这个漏洞在zabbix3.0.4已经修复,为了安全,升级下zabbix版本!
http://mp.weixin.qq.com/s?__biz=MzIyNzM5NTQ2OA==&mid=2247483655&idx=1&sn=c656922fc86e61f11b0370d911a2385b&scene=2&srcid=0817CgPwM54sdw5wRsyf0miX&from=timeline&isappinstalled=0#wechat_redirect
zabbix2.2.11 -> zabbix3.0.4
升级准备工作
1、关闭zabbix程序
service zabbix_server stop
service zabbix_server stop
2、备份数据库
mysqldump -uzabbix -p zabbix \
--ignore-table=zabbix.history \
--ignore-table=zabbix.history_log \
--ignore-table=zabbix.history_str \
--ignore-table=zabbix.history_text \
--ignore-table=zabbix.history_uint \
--ignore-table=zabbix.trends \
--ignore-table=zabbix.trends_uint | gzip > zabbix_`date +‘%Y%m%d%H%M%S‘`.sql.gz
3、备份zabbix2.2 web代码和/usr/local/zabbix下的文件
tar -zcvf zabbix2.2.11.tar.gz zabbix2.2.11/
开始升级
1、下载安装zabbix3.0.4
wget http://120.52.73.47/nchc.dl.sourceforge.net/project/zabbix/ZABBIX%20Latest%20Stable/3.0.4/zabbix-3.0.4.tar.gz
tar -zxvf zabbix-3.0.4.tar.gz
cd zabbix-3.0.4
./configure --prefix=/usr/local/zabbix3.0.4 --enable-server --with-mysql --with-net-snmp --with-libxml2 --with-libcurl --with-openipmi --enable-agent
make $$ make install
2、替换旧版的zabbix文件
cp -r frontends/php/* /var/www/html/ #替换旧版zabbix的web目录
cp misc/init.d/fedora/core/* /etc/init.d/ #启动脚本,根据自己的安装情况去修改下BASEDIR路径
3、修改配置文件
cp /usr/local/zabbix2.2.11/etc/zabbix_server.conf /usr/local/zabbix3.0.4/etc/
修改web代码中的conf/zabbix.conf.php 替换即可
4、启动zabbix
service zabbix_server start
service zabbix_server start
5、查看zabbix日志,数据库是否更新
starting automatic database upgrade
database upgrade fully completed
数据库更新成功!!!
备注:记得修改zabbix中文乱码问题
问题:因为旧版的zabbix的apache版本比较低,导致无法渲染icon-sprite.svg文件。导致首页很多小图片无法显示
无法渲染svg图片格式显示的页面
正常页面
在httpd.conf中添加如下字段
AddType image/svg+xml svg svgz
AddEncoding gzip svgz