|
发表于 2023-06-28 11:41 |
只看楼主
楼主
图形图像识别方案供应商Grafana曝出重大漏洞,可挟持微软AzureAD账号▲ 图源 Grafana 官网 据悉,这项漏洞起因是 Grafana 平台使用电子邮件信箱来验证 Azure AD 账号,一旦黑客对此加以利用,就能在采用 Azure AD 的 OAuth 身份验证的 Grafana 环境当中,绕过身份验证并接管 Azure AD 的用户账号。 YPS行业门户系统注意到,该漏洞 CVSS 风险评分为 9.4,影响 6.7.0 版以上的 Grafana,目前 Grafana 已经对此推出了以下更新版本来解决相关漏洞问题: 8.5.27; 9.2.20; 9.3.16; 9.4.13; 9.5.5; 10.0.1。 同时开发团队也为 Grafana Cloud 完成了相关漏洞修复工作。而对于暂时无法安装更新程序的用户,他们也提出缓解措施: 将 allowed_groups 配置添加到 Azure AD 配置,这将确保当用户登录时,他们也是 Azure AD 中组的成员,可令黑客无法使用任意电子邮件地址进行攻击。 广告声明:本文含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考。YPS行业门户系统所有文章均包含本声明。 |
||