研究人员承认:“有了所有的好心,我将格拉法纳团队置于压力很大的情况下。”
开源在安全研究人员宣布在Twitter上发现零日漏洞后,数据分析和可视化平台Grafana敦促用户升级其部署。
高分子路径遍布缺陷,CVE-2021-43798,位于安装插件的URL中,可以允许攻击者远程访问服务器上的本地文件。
它影响版本v8.0.0-beta1至v8.3.0,而格拉法纳云实例不受影响。
该公司迅速采取行动在12月3日(报告的同一天)解决该问题 - 四天后发布了私人客户发布,并于12月14日发布了公开发布。
该公司说,那些无法更新的人应该在Grafana面前运行反向代理,以使请求减轻问题的途径正常化。
过于热情的研究人员
这脆弱性首先是安全研究员乔迪·维米森(Jordy Versmissen)报道的,他说过度兴趣导致他太早分享了这一消息。
“由于这是我发现的第一个高脆弱性,所以我无法控制自己的兴奋,并发布了一条关于我在Grafana中找到了路径遍历脆弱性的事实。”解释。
“几天后,我收到了其他安全研究人员在Grafana的代码库中发现漏洞的通知,他们在Github和Twitter上发布了概念验证。有了所有的良好意图,我将Grafana团队置于压力很大的情况下。”
然后Grafana移动构建八个版本,对于它支持的每个平台和部署模型,四个私人和四个公共场所。
你可能还喜欢goautodial漏洞将呼叫中心网络安全性放在线上
“总的来说,我们最终在短短的几个小时内就释放了数十个完整的文物。另外,我们在发行期间遇到了一些构建失败。
“我们将在接下来的几周内进行释放工程冲刺,以使我们能够无缝建立私人发行版,并大大加快整体释放速度。”
哈特曼说,该公司已经在建立一个错误赏金程序,应该尽快准备好。
他说:“虽然我们将花费更多时间发布[该计划],但如果我们在上周五之前将其设置在适当的位置,但我们不会无意中为Jordy提供了提交其他第三方的动机。”
