近期zabbix出現一個漏洞。zabbix的jsrpc的profileIdx2參數存在insert方式的SQL注入漏洞,攻擊者無需授權登陸即可登陸zabbix管理系統,也可通過script等功能輕易直接擷取zabbix伺服器的作業系統權限。這個漏洞在zabbix3.0.4已經修複,為了安全,更新下zabbix版本!
zabbix2.2.11 -> zabbix3.0.4
更新準備工作
1、關閉zabbix程式
service zabbix_server stop
2、備份資料庫
mysqldump -uzabbix -p zabbix \
--ignore-table=zabbix.history \
--ignore-table=zabbix.history_log \
--ignore-table=zabbix.history_str \
--ignore-table=zabbix.history_text \
--ignore-table=zabbix.history_uint \
--ignore-table=zabbix.trends \
--ignore-table=zabbix.trends_uint | gzip > zabbix_`date +'%Y%m%d%H%M%S'`.sql.gz
3、備份zabbix2.2 web代碼和/usr/local/zabbix下的檔案
tar -zcvf zabbix2.2.11.tar.gz zabbix2.2.11/
開始更新
1、下載下傳安裝zabbix3.0.4
wget http://120.52.73.47/nchc.dl.sourceforge.net/project/zabbix/ZABBIX%20Latest%20Stable/3.0.4/zabbix-3.0.4.tar.gz
tar -zxvf zabbix-3.0.4.tar.gz
cd zabbix-3.0.4
./configure --prefix=/usr/local/zabbix3.0.4 --enable-server --with-mysql --with-net-snmp --with-libxml2 --with-libcurl --with-openipmi --enable-agent
make $$ make install
2、替換舊版的zabbix檔案
cp -r frontends/php/* /var/www/html/ #替換舊版zabbix的web目錄
cp misc/init.d/fedora/core/* /etc/init.d/ #啟動腳本,根據自己的安裝情況去修改下BASEDIR路徑
3、修改配置檔案
cp /usr/local/zabbix2.2.11/etc/zabbix_server.conf /usr/local/zabbix3.0.4/etc/
修改web代碼中的conf/zabbix.conf.php 替換即可
4、啟動zabbix
service zabbix_server start
5、檢視zabbix日志,資料庫是否更新
starting automatic database upgrade
database upgrade fully completed
資料庫更新成功!!!
備注:記得修改zabbix中文亂碼問題。如果你自定義過key或者編寫過腳本。别忘了吧這個腳本拷貝過去!
問題:因為舊版的zabbix的apache版本比較低,導緻無法渲染icon-sprite.svg檔案。導緻首頁很多小圖檔無法顯示
無法渲染svg圖檔格式顯示的頁面
正常頁面
在httpd.conf中添加如下字段
AddType p_w_picpath/svg+xml svg svgz
AddEncoding gzip svgz