AnasayfagüvenlikGrafana: Twitter'a yayıldıktan sonra sıfırıncı gün güvenlik açığını düzeltir

Grafana: Twitter'a yayıldıktan sonra sıfırıncı gün güvenlik açığını düzeltir

Açık kaynak kodlu ve etkileşimli görseller sunan Grafana, bugün çok ciddi bir sıfırıncı gün güvenlik açığını düzeltmek için bir acil durum güncellemesi yayınladı. uzaktan erişim yerel dosyalarda.

Ayrıca bkz: Yönetici ayrıcalıkları veren Windows 10 sıfır gün geçici olarak düzeltildi

Grafana

Grafana Labs, etkilenen 8.0.0-beta1 ila 8.3.0 sürümlerinde güncellemeler yayınlamadan önce, sorunun ayrıntıları bu haftanın başlarında kamuoyuna açıklandı.

Bugün erken saatlerde Grafana güncellemeleri 8.3.1, 8.2.7, 8.1.8 ve 8.0.7, bir saldırganın Grafana klasörünün dışında gezinmesine ve kısıtlı konumlara uzaktan erişim sağlamasına olanak verebilecek bir güvenlik açığını gidermek için yayımlandı. sunucu.

Grafana Labs bugün, sorunun, saldırıya karşı saldırılara karşı savunmasız olan yüklü eklentilerin URL'lerinde olduğunu açıklayan bir gönderi yayınladı.

Tüm Grafana kurulumlarında varsayılan olarak bir dizi eklenti kurulu olduğundan, uygulamanın her örneğinde savunmasız URL yolu mevcuttu.

Grafana Labs, geçen haftanın sonlarında 3 Aralık'ta bir güvenlik açığı raporu aldı ve aynı gün bir düzeltme buldu.

Güvenlik açığı kavram kanıtı (PoC) ile birlikte teknik ayrıntıların hatadan yararlanarak Twitter'da kullanıma sunulması uzun sürmedi ve GitHub.

Ayrıca bakınız: Twitter botları, kripto dolandırıcılığını teşvik etmek için her tweet'i takip ediyor

sıfırıncı gün

Özel olarak bildirilen hata artık yaygın olduğundan, Grafana Labs düzeltmeyi yayınlamak zorunda kaldı:

2021-12-06: Güvenlik açığına ilişkin ikinci rapor

2021-12-07: Güvenlik açığının kamuoyuna sızdırıldığı ve sıfırıncı güne dönüştürüldüğü bilgisini aldık.

2021-12-07: Bir an önce serbest bırakılmasına karar verildi

2021-12-07: Normal 2 haftalık zaman çerçevesi değil, 1 saatlik azaltılmış ödemesiz süreli özel sürüm

2021-12-07: Kamu dolaşımı

Şimdi kusur olarak bilinen CVE-2021-43798, 7,5 önem derecesi aldı ve hala kaldırılmış iç mekan sunucularında kullanılabilir.

Ayrıca bkz: Yeni Windows sıfır gün, yönetici ayrıcalıklarına izin verir

Güncellemelerin geliştiricisine göre Grafana Cloud etkilenmedi.

Yaygın olarak bilindiği gibi, halka açık internette açığa çıkan binlerce Grafana sunucusu var. Güvenlik açığı bulunan bir sunucu zamanında güncellenemiyorsa, bu sunucuyu genel web için erişilemez hale getirmeniz önerilir.

Mia yokhttps://www.secnews.gr
Kendin olmak, seni sürekli değiştirmek isteyen bir dünyada, en büyük başarın.
spot_img

CANLI HABERLER