����,圖形圖像識別方案供應(yīng)商 Grafana 日前發(fā)布安全通告,表示旗下 Grafana 環(huán)境存在重大漏洞 CVE-2023-3128�����,黑客可利用該漏洞接管挾持所登錄的微軟 Azure AD 賬號��。
據(jù)悉�,這項(xiàng)漏洞起因是 Grafana 平臺使用電子郵件信箱來驗(yàn)證 Azure AD 賬號,一旦黑客對此加以利用�,就能在采用 Azure AD 的 OAuth 身份驗(yàn)證的 Grafana 環(huán)境當(dāng)中,繞過身份驗(yàn)證并接管 Azure AD 的用戶賬號���。
IT之家注意到���,該漏洞 CVSS 風(fēng)險評分為 9.4�,影響 6.7.0 版以上的 Grafana��,目前 Grafana 已經(jīng)對此推出了以下更新版本來解決相關(guān)漏洞問題:
-
8.5.27�����;
-
9.2.20�;
-
9.3.16;
-
9.4.13���;
-
9.5.5�����;
-
10.0.1。
同時開發(fā)團(tuán)隊(duì)也為 Grafana Cloud 完成了相關(guān)漏洞修復(fù)工作��。而對于暫時無法安裝更新程序的用戶��,他們也提出緩解措施:
將 allowed_groups 配置添加到 Azure AD 配置�����,這將確保當(dāng)用戶登錄時���,他們也是 Azure AD 中組的成員�,可令黑客無法使用任意電子郵件地址進(jìn)行攻擊。
廣告聲明:本文含有的對外跳轉(zhuǎn)鏈接����,用于傳遞更多信息,節(jié)省甄選時間����,結(jié)果僅供參考。IT之家所有文章均包含本聲明����。
鄭重聲明:此文內(nèi)容為本網(wǎng)站轉(zhuǎn)載企業(yè)宣傳資訊,目的在于傳播更多信息���,與本站立場無關(guān)�����。僅供讀者參考���,并請自行核實(shí)相關(guān)內(nèi)容。
