Grafana CVSS 10.0 SCIM кемтигин оңдоп, колдонуучунун өзүн башка адам катары көрсөтүү жана укуктарды жогорулатуу мүмкүнчүлүгүн чектейт

Баарыңыз тыңшагыла — Grafana SCIM кемтиги үчүн чоң патч чыгарды, ал сөзсүз эле мүмкүн болгондордон начар. Биз CVSS 10.0 критикалык кемтик жөнүндө сүйлөшөбүз, бул түрдүү кемтик колдонуучулардын өзүн башка адам катары көрсөтүүгө жана укуктарды жогорулатууга мүмкүндүк берет, алар жерге ээ болгон сыяктуу.

Бул кандайдыр бир теориялык коркунуч эмес — бул активдүү пайдалануу аймагы. Эгерде сиз Grafana 12.x версияларын иштетсеңиз, сиз коркунучка дуушар болосуз. Кемтик атайын SCIM (System for Cross-domain Identity Management) ишке ашырууга багытталган, ал колдонуучулардын идентификациясын башкарууга тийиш болчу, бирок администратордук кирүү мүмкүнчүлүгүн бекер үлгүлөр сыяктуу бөлүп берген.

Кемтик толук колдонуучунун өзүн башка адам катары көрсөтүүгө мүмкүндүк берет — бул кол салуучулар сиздин системаңыздагы каалаган колдонуучу боло аларын билдирет. Алар киргенден кийин, укуктарды жогорулатуу аларга сиздин бүт Grafana инстанцияңызга администратордук деңгээлдеги кирүү мүмкүнчүлүгүн берет. Биз панелдер, маалымат булактары жана, мүмкүн, бүт мониторинг инфраструктураңыз үстүнөн толук көзөмөл жөнүндө сүйлөшөбүз.

Grafana бардык таасирленген 12.x версиялары үчүн патч дароо жеткиликтүү экенин ырастады. Эгерде сиз жаңыртпасаңыз, сиз от менен ойнойсуз. Бул сиз 'кийинчерээк' оңдой ала турган кемтик түрү эмес — бул сиздин бүт инфраструктураңызды ээлеп калууга алып келе турган түрү.

Коопсуздук командалары муну эң жогорку приоритеттүү патч катары кароого тийиш. Колдонуучунун өзүн башка адам катары көрсөтүү жана укуктарды жогорулатуунун айкалышы кол салуучулар сиздин аутентификация системаңызды толук айланып өтүп, администратордук көзөмөлгө ээ боло аларын билдирет. Бул жөн гана маалыматтын сыртына чыгуу эмес — бул толук системаны басып алуу кемтиги.

Патч SCIM чекиттеринин кемтиктерин чечет, алар уруксатсыз кирүүгө жана укуктарды манипуляциялоого мүмкүндүк берген. Grafanaнын коопсуздук командасы бул оңдоону чыгаруу үчүн ашыкча иштешти, жана алар бардык колдонуучуларды дароо жаңыртууга чакырышат.