2023年7月20日 在 新闻
‧
阅读时间:2分钟
请立即升级您的Metabase
Sameer Al-Sakran
‧ 2023年7月20日 在 新闻
‧ 2分钟阅读
分享这篇文章
自本文发布以来,我们已修补了一个额外的漏洞。
TL;DR:立即升级您的 Metabase 安装。
最近发现的安全漏洞几乎肯定会影响您(有关详细信息,请见下文),我们建议您立即升级 Metabase 安装。
如果您是 Metabase 企业版客户
您可以在以下位置访问最新的修补版本:
- JAR: https://downloads.metabase.com/enterprise/v1.51.2/metabase.jar
- 通过 Docker 镜像
metabase/metabase-enterprise:latest或metabase/metabase-enterprise:v1.46.6.1。
如果您使用的是 Metabase 开源版
您可以在以下位置访问最新的修补版本:
- JAR: https://downloads.metabase.com/v0.51.2/metabase.jar
- 通过
metabase/metabase:latest或metabase/metabase:v0.46.6.1使用 Docker 镜像。
针对旧版 Metabase
我们还发布了以下版本以修复受漏洞影响的 Metabase 早期版本
- v0.45.4.1 和 v1.45.4.1
- v0.44.7.1 和 v1.44.7.1
- v0.43.7.2 和 v1.43.7.2
这些版本可在 https://github.com/metabase/metabase/releases 获取。
发生了什么?
我们收到第三方安全研究人员的通知,他们发现了 Metabase 中的一个漏洞。
漏洞的严重程度如何?
极其严重。未经身份验证的攻击者可以在您运行的 Metabase 服务器上运行任意命令,具有与 Metabase 服务器相同的权限。
此漏洞已被利用吗?
据我们所知,尚未发现此漏洞被利用。我们审计了自己的系统,并未发现任何恶意使用。
如果我在运行一个分支,我该怎么做?
请联系 [email protected],我们将指导您修复系统。
我处于风险中吗?
如果您不在 Metabase Cloud 上,并且正在运行 X.43 或更高版本的 Metabase,您处于风险中。请立即升级。
我是 Metabase Cloud 的客户,我需要做些什么吗?
您不需要做任何事情。我们一得知漏洞就修复并修补了您的 Metabase。我们还审查了所有客户实例的网络访问,并未发现任何非渗透测试利用此漏洞的行为。
您会发布有关漏洞的信息吗?
是的,我们将在两周内公开发布补丁、CVE 和解释。我们推迟发布是为了在广泛利用之前给我们的安装基础一些额外的时间。
您可能还会喜欢
所有文章
