2023 年 7 月 20 日 在 新聞
‧
2 分鐘閱讀
請立即升級您的 Metabase
Sameer Al-Sakran
‧ 2023 年 7 月 20 日 在 新聞
‧ 2 分鐘閱讀
分享這篇文章
自此文章發布以來,我們已修補了另一個漏洞。
重點摘要:立即升級您的 Metabase 安裝。
最近發現的安全漏洞幾乎可以肯定會影響您(詳情請見下方),我們建議您立即升級您的 Metabase 安裝。
如果您是 Metabase Enterprise 客戶
您可以透過以下網址存取最新的修補版本:
- JAR: https://downloads.metabase.com/enterprise/v1.53.2/metabase.jar
- Docker 映像檔透過
metabase/metabase-enterprise:latest或metabase/metabase-enterprise:v1.46.6.1。
如果您使用的是 Metabase 開放原始碼版本
您可以透過以下網址存取最新的修補版本:
- JAR: https://downloads.metabase.com/v0.53.2/metabase.jar
- Docker 映像檔透過
metabase/metabase:latest或metabase/metabase:v0.46.6.1。
適用於舊版 Metabase
我們也發布了以下版本以修補受此漏洞影響的先前 Metabase 版本
- v0.45.4.1 和 v1.45.4.1
- v0.44.7.1 和 v1.44.7.1
- v0.43.7.2 和 v1.43.7.2
這些版本可在 https://github.com/metabase/metabase/releases 取得。
發生了什麼事?
我們收到第三方安全研究人員通知,他們在 Metabase 中發現了一個漏洞。
此漏洞的嚴重程度為何?
極為嚴重。未經身分驗證的攻擊者可以使用與 Metabase 伺服器相同的權限,在您執行 Metabase 的伺服器上執行任意命令。
此漏洞是否已被利用?
就我們目前所知,此漏洞尚未有已知的利用案例。我們已稽核我們自己的系統,並且無法找到任何惡意使用案例。
如果我正在執行 fork 版本,我該怎麼辦?
請聯絡 help@metabase.com,我們將引導您完成系統修補程序。
我是否處於風險之中?
如果您不是 Metabase Cloud 客戶,而且您正在執行 X.43 或更新版本的 Metabase,您就處於風險之中。請立即升級。
我是 Metabase Cloud 客戶,我需要做任何事嗎?
您不需要做任何事。我們在得知此漏洞後,已立即修正並修補您的 Metabase。我們也已稽核所有客戶執行個體的網路存取權,並且無法找到任何非滲透測試的漏洞利用案例。
您會發布任何關於此漏洞的資訊嗎?
是的,我們將公開發布修補程式,以及 CVE 和兩週後的說明。我們延遲發布是為了在漏洞被廣泛利用之前,讓我們的安裝基礎有更多的時間。
您可能也會喜歡
所有文章
