Разработчики Grafana исправили 0-day уязвимость, для которой уже опубликован эксплоит - «Новости» » Интернет технологии
sitename
Российские двигатели в последний раз доставили на орбиту пакет спутников Amazon Leo на ракете Atlas V - «Новости сети»
Российские двигатели в последний раз доставили на орбиту пакет спутников Amazon Leo на ракете Atlas V - «Новости сети»
GitHub подшутила над Sony и предложила разработчикам выслать их репозитории на CD-дисках - «Новости сети»
GitHub подшутила над Sony и предложила разработчикам выслать их репозитории на CD-дисках - «Новости сети»
Xiaomi похвасталась, что продала 500 млн смартфонов Redmi Note — новый Redmi Note 17 уже на подходе - «Новости сети»
Xiaomi похвасталась, что продала 500 млн смартфонов Redmi Note — новый Redmi Note 17 уже на подходе - «Новости сети»
Японцы намерены переводить ДВС на водород вместо использования топливных ячеек - «Новости сети»
Японцы намерены переводить ДВС на водород вместо использования топливных ячеек - «Новости сети»
OxygenOS и Realme UI отправят на свалку истории — OnePlus и Realme перейдут на ColorOS - «Новости сети»
OxygenOS и Realme UI отправят на свалку истории — OnePlus и Realme перейдут на ColorOS - «Новости сети»
Linux-уязвимость DirtyClone помогает повысить права до уровня root - «Новости»
Linux-уязвимость DirtyClone помогает повысить права до уровня root - «Новости»
У японских интернет-провайдеров утекли данные 14,22 млн абонентов - «Новости»
У японских интернет-провайдеров утекли данные 14,22 млн абонентов - «Новости»
Операторы будут автоматически передавать данные в единую базу IMEI - «Новости»
Операторы будут автоматически передавать данные в единую базу IMEI - «Новости»
Червь Miasma атаковал LeoPlatform и пакеты RStreams - «Новости»
Червь Miasma атаковал LeoPlatform и пакеты RStreams - «Новости»
Через кошельки Qiwi за границу вывели 30 млрд рублей - «Новости»
Через кошельки Qiwi за границу вывели 30 млрд рублей - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Разработчики Grafana исправили 0-day уязвимость, для которой уже опубликован эксплоит - «Новости»

Опенсорсное решение для аналитики и интерактивной визуализации, Grafana, получило экстренное обновление для устранения серьезной 0-day уязвимости, которая обеспечивала удаленный доступ к локальным файлам.


Разработчикам Grafana Labs пришлось поспешить с патчем, так как код эксплоита для этой проблемы (CVE-2021-43798) был опубликован в открытом доступе.





Уязвимость описывается как  обход каталога (path traversal) и позволяет злоумышленнику читать файлы за пределами папки приложения Grafana. То есть хакер мог  использовать URL-адреса подключаемых модулей Grafana, чтобы выйти из папки приложения и получить доступ к другим файлам, включая файлы, в которых хранятся пароли и параметры конфигурации, например, /etc/passwd/.


Сообщается, что все локальные серверы Grafana, на которых установлены версии 8.x, считаются уязвимыми. Баг был исправлен с релизом Grafana 8.3.1, 8.2.7, 8.1.8 и 8.0.7. При этом разработчики подчеркивают, что облачные информационные панели Grafana не подвержены от этой проблеме.


По данным Bleeping Computer, Grafana Labs получила отчет об этой уязвимости в конце прошлой недели, 3 декабря. Разработчики запланировали выпуск патча для частных клиентов, а затем и публичное исправление, которое должно было выйти 14 декабря. Однако затем разработчики получили второй отчет, согласно которому эксплоит начал открыто распространяться в Twitter и на GitHub.




Опенсорсное решение для аналитики и интерактивной визуализации, Grafana, получило экстренное обновление для устранения серьезной 0-day уязвимости, которая обеспечивала удаленный доступ к локальным файлам. Разработчикам Grafana Labs пришлось поспешить с патчем, так как код эксплоита для этой проблемы (CVE-2021-43798) был опубликован в открытом доступе. Уязвимость описывается как обход каталога (path traversal) и позволяет злоумышленнику читать файлы за пределами папки приложения Grafana. То есть хакер мог использовать URL-адреса подключаемых модулей Grafana, чтобы выйти из папки приложения и получить доступ к другим файлам, включая файлы, в которых хранятся пароли и параметры конфигурации, например, /etc/passwd/. Сообщается, что все локальные серверы Grafana, на которых установлены версии 8.x, считаются уязвимыми. Баг был исправлен с релизом Grafana 8.3.1, 8.2.7, 8.1.8 и 8.0.7. При этом разработчики подчеркивают, что облачные информационные панели Grafana не подвержены от этой проблеме. По данным Bleeping Computer, Grafana Labs получила отчет об этой уязвимости в конце прошлой недели, 3 декабря. Разработчики запланировали выпуск патча для частных клиентов, а затем и публичное исправление, которое должно было выйти 14 декабря. Однако затем разработчики получили второй отчет, согласно которому эксплоит начал открыто распространяться в Twitter и на GitHub. This is awesome. It's been a fun few days with the Grafana 0day :) Awesome find by j0v!
Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.
CSS
запостил(а)
Macduff
Вернуться назад

Смотрите также

А что там на главной? )))



Комментарии )))



Войти через: