,图形图像识别方案供应商 grafana 日前发布安全通告,表示旗下 grafana 环境存在重大漏洞 cve-2023-3128,黑客可利用该漏洞接管挟持所登录的微软 azure ad 账号。
据悉,这项漏洞起因是 grafana 平台使用电子邮件信箱来验证 azure ad 账号,一旦黑客对此加以利用,就能在采用 azure ad 的 oauth 身份验证的 grafana 环境当中,绕过身份验证并接管 azure ad 的用户账号。
it之家注意到,该漏洞 cvss 风险评分为 9.4,影响 6.7.0 版以上的 grafana,目前 grafana 已经对此推出了以下更新版本来解决相关漏洞问题:
-
8.5.27;
-
9.2.20;
-
9.3.16;
-
9.4.13;
-
9.5.5;
-
10.0.1。
同时开发团队也为 grafana cloud 完成了相关漏洞修复工作。而对于暂时无法安装更新程序的用户,他们也提出缓解措施:
将 allowed_groups 配置添加到 azure ad 配置,这将确保当用户登录时,他们也是 azure ad 中组的成员,可令黑客无法使用任意电子邮件地址进行攻击。
广告声明:本文含有的对外跳转链接,用于传递更多信息,节省甄选时间,结果仅供参考。it之家所有文章均包含本声明。