Debian RCE в zabbix-agent2

Безотносительно скорости фикса… а у тебя zabbix-agent2 почему принимает команды от кого-то кроме тебя?

а что мэнтейнер пакета ответил по этому поводу?

https://www.linux.org.ru/forum/general/17757217

А это при чём тут?

Я не связывался с мейнтейнером. Возможно, с ним VyOS’ники связались.

Такие вещи принято в докере запускать. Я знаю, что у фиркфаксов другое мнение, но пока такие люди есть, я могу за «багбаунти» деньги получать

zabbix agent в докере? А как он будет хостовую машину мониторить?

Собственно, вопрос был больше про дебиан, чем про заббикс агент.

очень просто. /proc - это «каталог», примонтировал и контейнер «все видит».

там агент дергает smartctl через sudo. Что он увидит в примонтированном /proc?

значит ответ не особо интересует

Возможно, с ним VyOS’ники связались.

почему-то сомневаюсь

я этим дерьмом не пользуюсь. я намекнул лишь на то, что нет ничего невозможного, тем паче он в докерхабе есть и там про все это написано

Это конечно несколько смягчает опасность, но уязвимость никуда не девается. Архитектура заббикса предполагает что компрометация мониторинга не должна автоматически компрометировать все мониторящиеся хосты.

Печально, походу bookworm до сих пор не вылезло из тестинга, хотя формально оно уже несколько раз релизнулось. Не первый раз наблюдаю ситуацию когда в bullseye фикс приходит раньше.

Не первый раз наблюдаю ситуацию когда в bullseye фикс приходит раньше.

[bullseye] - zabbix (Vulnerable code introduced later)

Поставь там себе ещё одного клоуна.

Там указано Status: fixed а не Status: not affected.

Это нормально для debian’a, не фиксить RCE в редко используемых пакетах?

Chromium можно назвать редко используемым пакетом? А firefox? Там тоже могут подолгу ничего не фиксить. В Ubuntu ситуация такая же, ffmepg уже давно дырявый лежит, но исправления только за денюжку.

Внизу читай примечания.

Лучше почитай уязвимые версии заббикса, пятая в них включена.