Grafana 密码签名验证不恰当漏洞-低调大师

Grafana 密码签名验证不恰当漏洞

2022-11-08 602

漏洞描述

Grafana 是一个开源的可观察性和数据可视化平台。

Grafana 的受影响版本中存在插件签名验证不当漏洞，即使在禁止使用未签名插件的条件下，攻击者也可利用此漏洞诱导受害者下载并成功运行恶意插件，不从不受信任的来源下载并安装插件可缓解此漏洞。

漏洞名称	Grafana 密码签名验证不恰当漏洞
漏洞类型	密码学签名的验证不恰当
发现时间	2022-10-13
漏洞影响广度	一般
MPS编号	MPS-2022-11153
CVE编号	CVE-2022-31123
CNVD编号	-

影响范围

grafana/grafana@[9.0.0, 9.1.8)

grafana/grafana@(-∞, 8.5.14)

修复方案

将组件 grafana/grafana 升级至 9.1.8 及以上版本

将组件 grafana/grafana 升级至 8.5.14 及以上版本

参考链接

https://www.oscs1024.com/hd/MPS-2022-11153

https://nvd.nist.gov/vuln/detail/CVE-2022-31123

https://github.com/grafana/grafana/security/advisories/GHSA-rhxj-gh46-jvw8

情报订阅

OSCS(开源软件供应链安全社区)通过最快、最全的方式，发布开源项目最新的安全风险动态，包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务，社区用户可通过配置飞书、钉钉、企业微信机器人，及时获得一手情报信息推送：

https://www.oscs1024.com/cm/?src=osc

具体订阅方式详见：

https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc

微信关注我们

原文链接：https://www.oschina.net/news/216925

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

Atlassian Jira Align <10.109.2 权限管理不当漏洞

漏洞描述 Jira Align 是Atlassian公司的一个企业规划平台。 Jira Align 在10.109.2之前的版本中存在权限管理不当漏洞，经过身份验证且具有 People 角色权限的攻击者可利用此漏洞通过 MasterUserEdit API 发送特制的HTTP请求将任何用户角色修改为超级管理员。漏洞名称 Atlassian Jira Align <10.109.2 权限管理不当漏洞漏洞类型缺省权限不正确发现时间 2022-10-14 漏洞影响广度极小 MPS编号 MPS-2022-52473 CVE编号 CVE-2022-36803 CNVD编号 - 影响范围 Jira Align@(-∞, 10.109.2) 修复方案将组件 Jira Align 升级至 10.109.2 及以上版本参考链接 https://www.oscs1024.com/hd/MPS-2022-52473 https://nvd.nist.gov/vuln/detail/CVE-2022-36803 https://jira.atlassian.com/browse/JIRAA...

2022-11-08

473

大家好，openKylin是一个开放、多元的社区，所有人均可参与贡献，目前，openKylin 0.9公测版本已经发布，现邀请所有社区用户参与本次版本公测活动，与我们一起携手共建！活动时间 2022年11月4日—2022年12月4日活动规则本次活动依然采取积分制，根据积分排名发放奖品，积分由openKylin社区QA SIG项目维护人员根据大家提交的issue数量、issue信息完整性、问题严重性、是否为已知问题等四方面进行评定，0.9版本已知问题可查看版本更新日志，请勿重复提交。奖项设置截至2022年12月4日，积分排名前十的小伙伴可获得openKylin精美礼包一份（多功能数据线+定制贴纸），此外：若个人所得积分达500，可获得华为B6手环一个；若个人所得积分达300，可获得罗技键盘K580一个。参与方式 1.签署CLA 参与贡献前，请大家前往 https://cla.openkylin.top/页面，签署openKylin社区贡献者许可协议。我们所有的操作都需要建立在此基础上。签署完成后，即可参与版本公测。 2.参与公测自由提交反馈当你在使用系统的过程中，发...

2022-11-07

416

资源下载

更多资源

Mario

马里奥是站在游戏界顶峰的超人气多面角色。马里奥靠吃蘑菇成长，特征是大鼻子、头戴帽子、身穿背带裤，还留着胡子。与他的双胞胎兄弟路易基一起，长年担任任天堂的招牌角色。

腾讯云软件源

为解决软件依赖安装时官方源访问速度慢的问题，腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构，目前腾讯云软件源站支持公网访问和内网访问。

Spring

Spring框架（Spring Framework）是由Rod Johnson于2002年提出的开源Java企业级应用框架，旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念，提供核心容器、应用上下文、数据访问集成等模块，支持整合Hibernate、Struts等第三方框架，其适用范围不仅限于服务器端开发，绝大多数Java应用均可从中受益。

Rocky Linux

Rocky Linux（中文名：洛基）是由Gregory Kurtzer于2020年12月发起的企业级Linux发行版，作为CentOS稳定版停止维护后与RHEL（Red Hat Enterprise Linux）完全兼容的开源替代方案，由社区拥有并管理，支持x86_64、aarch64等架构。其通过重新编译RHEL源代码提供长期稳定性，采用模块化包装和SELinux安全架构，默认包含GNOME桌面环境及XFS文件系统，支持十年生命周期更新。