Разработчики Grafana исправили 0-day уязвимость, для которой уже опубликован эксплоит - «Новости» » Интернет технологии
sitename
Япония запретила продажу смартфонов Google Pixel 7 — Pixel 8 и Pixel 9 тоже под угрозой - «Новости сети»
Япония запретила продажу смартфонов Google Pixel 7 — Pixel 8 и Pixel 9 тоже под угрозой - «Новости сети»
В Пекине прошёл первый в мире футбольный турнир между гуманоидными роботами - «Новости сети»
В Пекине прошёл первый в мире футбольный турнир между гуманоидными роботами - «Новости сети»
Toyota RAV4 по итогам прошлого года обогнала Tesla Model Y в статусе самого популярного в мире автомобиля - «Новости сети»
Toyota RAV4 по итогам прошлого года обогнала Tesla Model Y в статусе самого популярного в мире автомобиля - «Новости сети»
Злоумышленники могут обойти аутентификацию почти 700 моделей принтеров Brother - «Новости»
Злоумышленники могут обойти аутентификацию почти 700 моделей принтеров Brother - «Новости»
Специалисты Cloudflare объяснили, что происходит с российским трафиком - «Новости»
Специалисты Cloudflare объяснили, что происходит с российским трафиком - «Новости»
Nvidia обновила DLSS, уменьшив в играх потребление VRAM на 20 % - «Новости сети»
Nvidia обновила DLSS, уменьшив в играх потребление VRAM на 20 % - «Новости сети»
Microsoft заявила, что ПК с Windows 11 в 2,3 раза быстрее ПК с Windows 10 и привела сомнительные аргументы - «Новости сети»
Microsoft заявила, что ПК с Windows 11 в 2,3 раза быстрее ПК с Windows 10 и привела сомнительные аргументы - «Новости сети»
MEGANews. Cамые важные события в мире инфосека за июнь - «Новости»
MEGANews. Cамые важные события в мире инфосека за июнь - «Новости»
Австралийку арестовали из-за неоднократных взломов университетских систем - «Новости»
Австралийку арестовали из-за неоднократных взломов университетских систем - «Новости»
Теперь дешевле. Подписка на «Хакер» — 450₽ в месяц - «Новости»
Теперь дешевле. Подписка на «Хакер» — 450₽ в месяц - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Разработчики Grafana исправили 0-day уязвимость, для которой уже опубликован эксплоит - «Новости»

Опенсорсное решение для аналитики и интерактивной визуализации, Grafana, получило экстренное обновление для устранения серьезной 0-day уязвимости, которая обеспечивала удаленный доступ к локальным файлам.


Разработчикам Grafana Labs пришлось поспешить с патчем, так как код эксплоита для этой проблемы (CVE-2021-43798) был опубликован в открытом доступе.





Уязвимость описывается как  обход каталога (path traversal) и позволяет злоумышленнику читать файлы за пределами папки приложения Grafana. То есть хакер мог  использовать URL-адреса подключаемых модулей Grafana, чтобы выйти из папки приложения и получить доступ к другим файлам, включая файлы, в которых хранятся пароли и параметры конфигурации, например, /etc/passwd/.


Сообщается, что все локальные серверы Grafana, на которых установлены версии 8.x, считаются уязвимыми. Баг был исправлен с релизом Grafana 8.3.1, 8.2.7, 8.1.8 и 8.0.7. При этом разработчики подчеркивают, что облачные информационные панели Grafana не подвержены от этой проблеме.


По данным Bleeping Computer, Grafana Labs получила отчет об этой уязвимости в конце прошлой недели, 3 декабря. Разработчики запланировали выпуск патча для частных клиентов, а затем и публичное исправление, которое должно было выйти 14 декабря. Однако затем разработчики получили второй отчет, согласно которому эксплоит начал открыто распространяться в Twitter и на GitHub.



Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Опенсорсное решение для аналитики и интерактивной визуализации, Grafana, получило экстренное обновление для устранения серьезной 0-day уязвимости, которая обеспечивала удаленный доступ к локальным файлам. Разработчикам Grafana Labs пришлось поспешить с патчем, так как код эксплоита для этой проблемы (CVE-2021-43798) был опубликован в открытом доступе. Уязвимость описывается как обход каталога (path traversal) и позволяет злоумышленнику читать файлы за пределами папки приложения Grafana. То есть хакер мог использовать URL-адреса подключаемых модулей Grafana, чтобы выйти из папки приложения и получить доступ к другим файлам, включая файлы, в которых хранятся пароли и параметры конфигурации, например, /etc/passwd/. Сообщается, что все локальные серверы Grafana, на которых установлены версии 8.x, считаются уязвимыми. Баг был исправлен с релизом Grafana 8.3.1, 8.2.7, 8.1.8 и 8.0.7. При этом разработчики подчеркивают, что облачные информационные панели Grafana не подвержены от этой проблеме. По данным Bleeping Computer, Grafana Labs получила отчет об этой уязвимости в конце прошлой недели, 3 декабря. Разработчики запланировали выпуск патча для частных клиентов, а затем и публичное исправление, которое должно было выйти 14 декабря. Однако затем разработчики получили второй отчет, согласно которому эксплоит начал открыто распространяться в Twitter и на GitHub. This is awesome. It
CSS
запостил(а)
Macduff
Вернуться назад

Смотрите также


А что там на главной? )))



Комментарии )))



Войти через: