A solução de análise de código aberto e visualização interativa Grafana recebeu uma atualização de emergência hoje para corrigir uma vulnerabilidade de dia zero de alta gravidade que permite acesso remoto a arquivos locais.
Detalhes sobre o problema começaram a se tornar públicos no início desta semana, antes que o Grafana Labs lançasse atualizações para as versões afetadas 8.0.0-beta1 a 8.3.0.
Caminho do URL do plug-in
Hoje, Grafana 8.3.1, 8.2.7, 8.1.8 e 8.0.7 foram lançados para corrigir uma vulnerabilidade de passagem de caminho que pode permitir que um invasor navegue fora da pasta Grafana e acesse remotamente locais reservados no servidor, como / etc/senha/.
O Grafana Labs publicou um post no blog hoje explicando que o problema estava na URL dos plugins instalados, que era vulnerável a ataques cruzados.
Como todas as instalações do Grafana possuem um conjunto de plugins instalados por padrão, o caminho de URL vulnerável estava presente em todas as instâncias do aplicativo.
O Grafana Labs recebeu um relatório de vulnerabilidade no final da semana passada, em 3 de dezembro, e encontrou uma correção no mesmo dia.
O desenvolvedor planejou um lançamento para clientes privados hoje e um lançamento público para 14 de dezembro.
PoC se espalha no Twitter e GitHub
Um segundo relatório chegou ontem, no entanto, indicando que as informações sobre o problema começaram a se espalhar, a confirmação veio quando as notícias do bug surgiram no espaço público.
Não demorou muito para que os detalhes técnicos juntamente com a prova de conceitos (PoC) explorassem o bug e se tornassem disponíveis no Twitter e no GitHub.
Como o bug relatado em particular se tornou um dia zero vazado, o Grafana Labs foi forçado a liberar a correção:
- 06/12/2021: segundo relatório de vulnerabilidade recebido
- 2021-12-07: Recebemos informações de que a vulnerabilidade foi divulgada ao público, tornando-se um dia 0.
- 2021-12-07: Decisão de publicar o mais rápido possível
- 07/12/2021: lançamento privado com um período de carência reduzido de 2 horas, não o período normal de 1 semana
- 2021-12-07: lançamento público
Agora registrado como CVE-2021-43798, o defeito recebeu uma pontuação de gravidade de 7,5 e ainda pode ser usado em servidores locais que não foram atualizados.
As instâncias do Grafana Cloud não foram afetadas, disse o desenvolvedor hoje.
De acordo com relatórios públicos, existem milhares de servidores Grafana expostos na Internet pública. Se não for possível atualizar uma instância vulnerável em tempo hábil, é recomendável tornar o servidor inacessível da web pública.
- O que é "Estoque Android"?
- O que significa inativo no Discord?
descubra mais conteúdo
O que é um amplificador integrado?
Google Pixel Watch também tem detecção de queda, mas não até o próximo ano
As melhores xícaras de café aquecidas de 2022
Como automatizar seu iPhone com base na hora, atividade ou localização
"Isso deve ter sido antes do meu tempo"
Por que a NASA enviou Snoopy para a Lua? – Revisão geek
O que eu preciso para aprender Primavera?
Quanto aos requisitos para aprender Spring Boot, você obviamente precisa ter um nível básico de Java e alguma experiência trabalhando com ele. Caso queira conhecer requisitos mais específicos, pode tomar como referência o conhecimento mínimo necessário do nosso curso Spring Boot.
O que aprender primeiro Spring ou Spring boot?
Resumindo, para começar com o Spring Boot você não precisa dominar totalmente o Spring Framework. Você pode começar de forma prática com o Spring Boot e aprender o que precisa com o Spring Framework para saber o que está fazendo e por que ele funciona para você.
Quanto tempo leva para aprender a inicialização do Spring?
É verdade que o tempo médio para um brasileiro aprender esperanto é de 4 MESES. Se o aluno reservar o mesmo período de tempo que reservaria para estudar inglês (tipo, uma hora, duas vezes por semana), leva menos tempo . Tem gente que aprende em uma semana, fazendo um pouco mais de esforço.
Que linguagem o Spring usa?
| Spring Framework | |
|---|---|
| Licença | Licença Apache 2.0 |
| Estado atual | Ativo |
| Informação técnica | |
| Programado em | Java Kotlin Groovy |