Arabellek taşması, kodun Kibana bileşenine gizlice sokulmasına olanak tanır

Arabellek taşması, kodun Kibana bileşenine gizlice sokulmasına olanak tanır

Elastic Stack’in bir parçası olan Kibana, kod kaçakçılığına izin veren bir güvenlik açığından muzdariptir. Geliştiriciler bunu bir güvenlik mesajıyla duyurdular. Suçlu, saldırganların özel hazırlanmış bir HTML sayfası kullanarak komutlarını eklemelerine olanak tanıyan Chrome’daki bir arabellek taşmasıdır. Chromium’un “başsız”, yani grafik kullanıcı arayüzü olmayan bir sürümü Kibana’ya dahil edildi ve güvenlik açığını ortaya çıkardı.

Duyuru

CVE-2023-7024 ea kimliğiyle güvenlik açığından eleştirmen Ancak Kibana kurulumlarının tümü 9,9/10 CVSS önem derecesinden etkilenmez. Chromium korumalı alanının Elastic belgelerinde önerildiği şekilde devre dışı bırakılması koşuluyla, öncelikle CentOS, Debian ve RHEL üzerindeki müşteri tarafından yönetilen örnekleri etkiler.

Saldırganlar ayrıca Kibana Docker örneklerine ve Elastic Cloud SaaS çözümüne de kod ekleyebilir; Ancak bu durumdaki etkiler zaten AppArmor ve centomp-bpf gibi güvenlik önlemleriyle sınırlı. Kubernetes centomp-bpf kullanımını desteklediği sürece (Kubernetes 1.19’dan beri) aynı durum Kubernetes’teki Elastic Cloud için de geçerlidir.

Elastic, Kibana sürümleri 7.17.17 veya 8.12.0 veya daha eski olan yöneticilerin, sorunu mümkün olan en kısa sürede çözecek olan 8.12.1 veya 7.17.18 sürümüne yükseltmelerini önerir. Yükseltme yapamıyorsanız Kibana’daki raporlama modülünü geçici olarak devre dışı bırakmalısınız; Elastic güvenlik danışma belgesi bunun nasıl yapılacağını açıklamaktadır.

8.12.1 sürümüne yapılan güncelleme ayrıca 8 sürümün tamamında mevcut olan başka bir güvenlik kusurunu da gideriyor ve belirli koşullar altında kullanıcılara aşırı izinler veriyor. CVE ID CVE-2024-23446 ve CVSS puanı 6,5 olan sızıntı, orta Risk.

Elastic, Wazuh SIEM gibi ürünlerin temelini oluşturan gerçek zamanlı analiz ve veri görselleştirmeye yönelik bir araç koleksiyonu sunar. Amazon ile yaşanan bir anlaşmazlık nedeniyle şirket, birkaç yıl önce açık kaynak lisanslama modelini terk etti ve o zamandan beri yazılım yığınını özgür olmayan bir lisans altında sundu.


(cku)

Haberin Sonu

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir


*


sweet bonanza oyna tuzla escort bostancı escort şişli escort halkalı escort avrupa yakası escort şişli escort avcılar escort esenyurt escort beylikdüzü escort mecidiyeköy escort istanbul escort şirinevler escort avcılar escort
mecidiyeköy escort ankara escort deneme bonusu veren siteler mamigeek.com