Bir”eleştirmen“Grafana'daki güvenlik açığı sistemleri tehlikeye atıyor. Yöneticiler korunan sürümlerden birini hızlı bir şekilde yüklemelidir.
Duyuru
Grafana, MySQL veya Prometheus gibi çeşitli kaynaklardan veri toplayan ve görselleştiren, platformlar arası açık kaynaklı bir uygulamadır. Saldırganlar artık bilgisayarlara saldırmak için bir güvenlik açığından (CVE-2024-9264) yararlanabilir. Grafana'nın geliştiricilerine göre, böyle bir saldırı işe yararsa saldırganlar ana bilgisayardaki tüm dosyalara erişebilir. Bunlar aynı zamanda saldırganların daha fazla yaymak (yanal ağ hareketi) için kullanabileceği şifrelenmemiş şifreleri de içerebilir.
SQL enjeksiyonu
Geliştiriciler bir uyarı mesajında yalnızca 11.0.x, 11.1.x ve 11.2.x sürümlerinin etkilendiğini bildirdi. Grafana 10.x bu güvenlik açığı nedeniyle tehdit altında değil. Yetersiz doğrulama nedeniyle saldırganlar SQL Expression Experimental özelliğini şu bağlamda kullanabilirler: duckdb-İstekleri enjekte edin ve komutlarınızı yürütün. Böyle bir saldırının tam olarak nasıl gerçekleşebileceği henüz detaylı olarak bilinmiyor.
Geliştiriciler, güvenlik açığını aşağıdaki sürümlerde düzelttiklerini garanti eder:
Grafana, güvenlik açığını bu yılın Eylül ayı sonlarında dahili olarak keşfettiğini söyledi. Güvenlik yamaları artık mevcut. Daha önce saldırı olup olmadığı henüz bilinmiyor. Ayrıca yöneticilerin halihazırda saldırıya uğramış sistemleri nasıl tespit edebilecekleri de belirsizdir.
(des)
Duyuru
Grafana, MySQL veya Prometheus gibi çeşitli kaynaklardan veri toplayan ve görselleştiren, platformlar arası açık kaynaklı bir uygulamadır. Saldırganlar artık bilgisayarlara saldırmak için bir güvenlik açığından (CVE-2024-9264) yararlanabilir. Grafana'nın geliştiricilerine göre, böyle bir saldırı işe yararsa saldırganlar ana bilgisayardaki tüm dosyalara erişebilir. Bunlar aynı zamanda saldırganların daha fazla yaymak (yanal ağ hareketi) için kullanabileceği şifrelenmemiş şifreleri de içerebilir.
SQL enjeksiyonu
Geliştiriciler bir uyarı mesajında yalnızca 11.0.x, 11.1.x ve 11.2.x sürümlerinin etkilendiğini bildirdi. Grafana 10.x bu güvenlik açığı nedeniyle tehdit altında değil. Yetersiz doğrulama nedeniyle saldırganlar SQL Expression Experimental özelliğini şu bağlamda kullanabilirler: duckdb-İstekleri enjekte edin ve komutlarınızı yürütün. Böyle bir saldırının tam olarak nasıl gerçekleşebileceği henüz detaylı olarak bilinmiyor.
Geliştiriciler, güvenlik açığını aşağıdaki sürümlerde düzelttiklerini garanti eder:
- 11.0.5+güvenlik-01
- 11.1.6+güvenlik-01
- 11.2.1+güvenlik-01
11.0.6+güvenlik-01 - 11.1.7+güvenlik-01
- 11.2.2+güvenlik-01
Grafana, güvenlik açığını bu yılın Eylül ayı sonlarında dahili olarak keşfettiğini söyledi. Güvenlik yamaları artık mevcut. Daha önce saldırı olup olmadığı henüz bilinmiyor. Ayrıca yöneticilerin halihazırda saldırıya uğramış sistemleri nasıl tespit edebilecekleri de belirsizdir.
(des)