2023 年 7 月 20 日,发布于 新闻
‧
阅读时长 2 分钟
请立即升级您的 Metabase
Sameer Al-Sakran
‧ 2023 年 7 月 20 日,发布于 新闻
‧ 阅读时长 2 分钟
分享这篇文章
我们在本文发布后,修复了另一个漏洞。
要点:立即升级您的 Metabase 安装。
最近发现的安全漏洞几乎可以肯定会影响您(详见下文),我们建议您立即升级 Metabase 安装。
如果您是 Metabase 企业版客户
您可以访问最新的已修复版本,网址为
- JAR:https://downloads.metabase.com/enterprise/v1.53.2/metabase.jar
- Docker 镜像通过
metabase/metabase-enterprise:latest或metabase/metabase-enterprise:v1.46.6.1。
如果您正在使用 Metabase 开源版
您可以访问最新的已修复版本,网址为
- JAR:https://downloads.metabase.com/v0.53.2/metabase.jar
- Docker 镜像通过
metabase/metabase:latest或metabase/metabase:v0.46.6.1。
对于旧版本的 Metabase
我们还发布了以下版本来修复受此漏洞影响的先前 Metabase 版本
- v0.45.4.1 和 v1.45.4.1
- v0.44.7.1 和 v1.44.7.1
- v0.43.7.2 和 v1.43.7.2
这些版本可在 https://github.com/metabase/metabase/releases 中找到。
发生了什么?
我们收到第三方安全研究人员的通知,他们发现了 Metabase 中的一个漏洞。
此漏洞的严重程度如何?
极其严重。未经身份验证的攻击者可以使用与运行 Metabase 的服务器相同的权限,在您运行 Metabase 的服务器上运行任意命令。
此漏洞是否已被利用?
据我们目前所知,尚未发现此漏洞被利用。我们审核了自己的系统,并且没有发现任何恶意使用此漏洞的情况。
如果我正在运行一个分支,我应该怎么办?
请联系 [email protected],我们将指导您完成系统修复。
我是否有风险?
如果您没有使用 Metabase Cloud,并且您正在运行 X.43 或更高版本的 Metabase,则您有风险。请立即升级。
我是 Metabase Cloud 客户,我需要做任何事情吗?
您无需执行任何操作。当我们得知此漏洞后,我们已立即修复并修补了您的 Metabase。我们还审核了对所有客户实例的网络访问,并且没有发现任何非渗透测试对此漏洞的利用。
你们会发布有关此漏洞的任何信息吗?
是的,我们将在两周后公开发布补丁、CVE 和说明。我们推迟发布是为了在我们广泛利用此漏洞之前,给我们的安装基础用户争取更多时间。
您可能还喜欢
所有文章
