緊急：請立即升級您的 Metabase 安裝。發現與 H2 相關的遠端程式碼執行漏洞

重點摘要：請立即升級您的 Metabase 安裝。（再次提醒）

我們再次遇到與 H2 相關的漏洞。我們已經修補了一些漏洞，並且也將 H2 從我們支援的資料庫中移除。請閱讀以下內容以瞭解更多資訊。

漏洞是什麼？

核心問題在於，我們支援的其中一個資料倉儲（一個嵌入式記憶體資料庫 H2）公開了多種方式，讓連線字串可以包含由執行嵌入式資料庫的程序所執行的程式碼。由於我們允許使用者連線到資料庫，這表示使用者提供的字串可以用來注入可執行程式碼。

我們允許使用者在新增資料庫（包括在設定時）之前驗證其連線字串。此驗證 API 是主要的使用途徑，因為它可以無需驗證即可呼叫。

我們先前已對使用者輸入進行清理，以移除允許程式碼執行的 init 命令。在一週內，我們從獨立的安全研究人員那裡得知了三個與 H2 連線字串處理相關的連續漏洞。我們依序修復了這些漏洞。

由於安全考量，Metabase 不再支援 H2 作為官方資料庫

由於這些攻擊的多樣性以及此資料庫驅動程式的低使用率，我們正在完全移除使用者新增 H2 資料庫的功能。我們認為，繼續在不安全的核心問題上應用使用者輸入清理的權宜之計是不負責任的，因此我們正在從我們的應用程式中移除此功能。從此版本開始，您將無法新增與 H2 資料庫的新連線。我們在得知 H2 中發現的重大漏洞後做出了此決定。

重要細節

Metabase X.43 及更高版本有風險

我們知道您才剛升級以修補先前的漏洞，但您應該再次升級以防範這個額外的嚴重漏洞。此漏洞已在野外被利用，因此您應儘快升級您的 Metabase。請參閱我們的漏洞公告。

如果您是自架 Metabase Enterprise 客戶

您可以透過以下連結存取最新的修補版本：

• JAR: https://downloads.metabase.com/enterprise/v1.53.2/metabase.jar
• Docker 映像檔透過 metabase/metabase-enterprise:latest 或 metabase/metabase-enterprise:v1.53.2。

如果您是自架 Metabase 的開放原始碼版本

您可以透過以下連結存取最新的修補版本：

• JAR: https://downloads.metabase.com/v0.53.2/metabase.jar
• Docker 映像檔透過 metabase/metabase:latest 或 metabase/metabase:v0.53.2。

如果您執行的是較舊版本 (43、44 或 45)

請升級至

• v0.45.4.3 和 v1.45.4.3
• v0.44.7.3 和 v1.44.7.3
• v0.43.7.3 和 v1.43.7.3

請參閱 Metabase 版本 和我們的 升級文件。

如果您使用的 Metabase 版本早於 0.43

您不受此漏洞影響。然而，自那時以來，已有許多其他安全性和錯誤修復，我們強烈建議您儘快升級到最新版本。

如果您是 Metabase Cloud 客戶

我們已封鎖易受攻擊的端點，並正在將最新的修補程式套用至您的 Metabase 執行個體。我們也正在仔細稽核我們所有的系統，以檢查是否有未經授權的存取。

如果您使用 H2 作為 Metabase 的應用程式資料庫

您不受影響。這些漏洞僅限於 H2 的初始連線和設定，嵌入式 H2 資料庫不會公開此攻擊面。

如果您在生產環境中使用 H2 資料庫，我們建議您切換到另一個資料庫

如果您現有與 H2 資料庫的連線，您仍然可以使用 Metabase 連線到該資料庫。但我們強烈建議您將資料從 H2 資料庫遷移到另一個資料庫。

感謝 AssetNote、Qing、Reginaldo 和 Calif 發現並提醒我們這些漏洞

最後，感謝安全研究人員和我們社群中的其他成員，他們協助我們找到這些漏洞。

感謝名單：

• Assetnote 的 Shubham Shah 和 Maxwell Garrett，發現了最初的漏洞。
• 長亭安全應急中心 和獨立安全研究人員 bluE0，報告了另一個攻擊途徑。
• Reginaldo Silva，報告了另一個不同的攻擊途徑。
• Calif.io 團隊的 Duc Nguyen 和 Jang Nguyen，報告了另一個攻擊途徑。

感謝您讓開放原始碼軟體保持安全。