Разработчики Grafana исправили 0-day уязвимость, для которой уже опубликован эксплоит - «Новости» » Интернет технологии
sitename
Энтузиаст построил видеокарту из 8192 копеечных чипов RISC-V - «Новости сети»
Энтузиаст построил видеокарту из 8192 копеечных чипов RISC-V - «Новости сети»
«Джеймс Уэбб» показал самый подробный снимок галактики Центавр А - «Новости сети»
«Джеймс Уэбб» показал самый подробный снимок галактики Центавр А - «Новости сети»
Успех Kingdom Come: Deliverance 2 не помог актёру озвучки Яна Птачека пробиться в игровую индустрию, но открыл дорогу в стримеры - «Новости сети»
Успех Kingdom Come: Deliverance 2 не помог актёру озвучки Яна Птачека пробиться в игровую индустрию, но открыл дорогу в стримеры - «Новости сети»
Больше никаких Burnout и Need for Speed: спустя 30 лет создания гоночных игр Criterion «целиком сосредоточена» на Battlefield - «Новости сети»
Больше никаких Burnout и Need for Speed: спустя 30 лет создания гоночных игр Criterion «целиком сосредоточена» на Battlefield - «Новости сети»
Продажи No Rest for the Wicked в раннем доступе Steam превысили 2 миллиона копий, и «лучшее ещё впереди» - «Новости сети»
Продажи No Rest for the Wicked в раннем доступе Steam превысили 2 миллиона копий, и «лучшее ещё впереди» - «Новости сети»
Разработчики Flipper Zero пересмотрели подход к развитию прошивки - «Новости»
Разработчики Flipper Zero пересмотрели подход к развитию прошивки - «Новости»
Специалисты Google нарушили работу сети резидентных прокси NetNut - «Новости»
Специалисты Google нарушили работу сети резидентных прокси NetNut - «Новости»
19-летнего участника группировки Scattered Spider экстрадировали в США - «Новости»
19-летнего участника группировки Scattered Spider экстрадировали в США - «Новости»
Из-за взлома Oracle PeopleSoft у компании Nissan украли данные - «Новости»
Из-за взлома Oracle PeopleSoft у компании Nissan украли данные - «Новости»
Вымогательская группа Gentlemen обновляет свой инструментарий - «Новости»
Вымогательская группа Gentlemen обновляет свой инструментарий - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Разработчики Grafana исправили 0-day уязвимость, для которой уже опубликован эксплоит - «Новости»

Опенсорсное решение для аналитики и интерактивной визуализации, Grafana, получило экстренное обновление для устранения серьезной 0-day уязвимости, которая обеспечивала удаленный доступ к локальным файлам.


Разработчикам Grafana Labs пришлось поспешить с патчем, так как код эксплоита для этой проблемы (CVE-2021-43798) был опубликован в открытом доступе.





Уязвимость описывается как  обход каталога (path traversal) и позволяет злоумышленнику читать файлы за пределами папки приложения Grafana. То есть хакер мог  использовать URL-адреса подключаемых модулей Grafana, чтобы выйти из папки приложения и получить доступ к другим файлам, включая файлы, в которых хранятся пароли и параметры конфигурации, например, /etc/passwd/.


Сообщается, что все локальные серверы Grafana, на которых установлены версии 8.x, считаются уязвимыми. Баг был исправлен с релизом Grafana 8.3.1, 8.2.7, 8.1.8 и 8.0.7. При этом разработчики подчеркивают, что облачные информационные панели Grafana не подвержены от этой проблеме.


По данным Bleeping Computer, Grafana Labs получила отчет об этой уязвимости в конце прошлой недели, 3 декабря. Разработчики запланировали выпуск патча для частных клиентов, а затем и публичное исправление, которое должно было выйти 14 декабря. Однако затем разработчики получили второй отчет, согласно которому эксплоит начал открыто распространяться в Twitter и на GitHub.




Опенсорсное решение для аналитики и интерактивной визуализации, Grafana, получило экстренное обновление для устранения серьезной 0-day уязвимости, которая обеспечивала удаленный доступ к локальным файлам. Разработчикам Grafana Labs пришлось поспешить с патчем, так как код эксплоита для этой проблемы (CVE-2021-43798) был опубликован в открытом доступе. Уязвимость описывается как обход каталога (path traversal) и позволяет злоумышленнику читать файлы за пределами папки приложения Grafana. То есть хакер мог использовать URL-адреса подключаемых модулей Grafana, чтобы выйти из папки приложения и получить доступ к другим файлам, включая файлы, в которых хранятся пароли и параметры конфигурации, например, /etc/passwd/. Сообщается, что все локальные серверы Grafana, на которых установлены версии 8.x, считаются уязвимыми. Баг был исправлен с релизом Grafana 8.3.1, 8.2.7, 8.1.8 и 8.0.7. При этом разработчики подчеркивают, что облачные информационные панели Grafana не подвержены от этой проблеме. По данным Bleeping Computer, Grafana Labs получила отчет об этой уязвимости в конце прошлой недели, 3 декабря. Разработчики запланировали выпуск патча для частных клиентов, а затем и публичное исправление, которое должно было выйти 14 декабря. Однако затем разработчики получили второй отчет, согласно которому эксплоит начал открыто распространяться в Twitter и на GitHub. This is awesome. It's been a fun few days with the Grafana 0day :) Awesome find by j0v!
Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.
CSS
запостил(а)
Macduff
Вернуться назад

Смотрите также

А что там на главной? )))



Комментарии )))



Войти через: