‧
阅读时间:3 分钟
紧急:立即升级您的 Metabase 安装。已发现与 H2 相关的远程代码执行漏洞
Metabase 团队
‧ 3 分钟阅读
分享本文
简而言之:立即升级您的 Metabase 安装。(再次)
我们又一次发布了与 H2 相关的漏洞更新。我们已修补了多个漏洞,同时还将 H2 从我们支持的数据库列表中移除。详情请阅读下方内容。
是什么漏洞?
核心问题在于,我们支持的其中一个数据仓库(一个嵌入式内存数据库 H2)暴露了多种方式,允许连接字符串包含由运行嵌入式数据库的进程执行的代码。由于我们允许用户连接到数据库,这意味着用户提供的字符串可以被用来注入可执行代码。
我们允许用户在添加数据库之前(包括设置时)验证其连接字符串。此验证 API 是主要利用途径,因为它可以在未经检查的情况下被调用。
我们曾对用户输入进行清理,以移除允许代码执行的 init 命令。在一个星期内,我们收到了来自独立安全研究人员关于 H2 连接字符串处理方式的三项连续漏洞报告。我们逐一修复了这些问题。
出于安全考虑,Metabase 不再支持 H2 作为官方数据库
鉴于这些攻击的多样性以及此数据库驱动程序的低使用率,我们将完全移除用户添加 H2 数据库的功能。我们认为,在不安全的根本问题上继续打补丁是负责任的行为,因此我们正在从应用程序中移除此功能。从本次发布开始,您将无法再添加新的 H2 数据库连接。我们在了解到 H2 中发现的关键漏洞后做出了此决定。
重要详情
Metabase X.43 及更高版本存在风险
我知道您刚刚升级以修补先前的漏洞,但您应该再次升级以防范此额外的严重漏洞。此漏洞已被利用,因此您应尽快升级您的 Metabase。请参阅我们的 漏洞公告。
如果您是自托管 Metabase Enterprise 客户
您可以在此处获取最新的已修复版本:
- JAR: https://downloads.metabase.com/enterprise/latest/metabase.jar
- Docker 镜像通过
metabase/metabase-enterprise:latest或metabase/metabase-enterprise:v1.57.7。
如果您自托管 Metabase 的开源版本
您可以在此处获取最新的已修复版本:
- JAR: https://downloads.metabase.com/latest/metabase.jar
- Docker 镜像通过
metabase/metabase:latest或metabase/metabase:v0.57.7。
如果您运行的是旧版本(43、44 或 45)
升级至
请参阅 Metabase releases 和我们的 升级文档。
如果您使用的是 Metabase 0.43 以下版本
您不受此漏洞影响。但是,自那时以来有许多其他安全和错误修复,我们强烈建议您尽快升级到最新版本。
如果您是 Metabase Cloud 客户
我们已阻止了易受攻击的端点,并正在为您的 Metabase 实例应用最新补丁。我们还在仔细审计所有系统是否存在未经授权的访问。
如果您将 H2 用作 Metabase 的应用程序数据库
您不受影响。这些漏洞仅限于 H2 的初始连接和设置,而嵌入式 H2 数据库并未暴露此攻击面。
如果您在生产环境中使用 H2 数据库,我们建议切换到其他数据库
如果您有现有的 H2 数据库连接,您仍然可以使用 Metabase 连接到该数据库。但我们强烈建议您将数据从 H2 数据库迁移到其他数据库。
感谢 AssetNote、Qing、Reginaldo 和 Calif 发现并向我们报告这些漏洞
最后,感谢安全研究人员以及我们社区中其他帮助我们发现这些漏洞的人。
荣誉归于
- Shubham Shah 和 Maxwell Garrett(来自 Assetnote),他们发现了最初的漏洞。
- Chaitin Security Response Institute 和独立安全研究员 bluE0,报告了一个单独的攻击向量。
- Reginaldo Silva,报告了另一个不同的攻击向量。
- Duc Nguyen 和 Jang Nguyen(来自 Calif.io 团队),报告了另一个攻击向量。
感谢您维护开源软件的安全。
