மெட்டாபேஸ் BI மென்பொருளில் காணப்படும் முக்கியமான பாதுகாப்பு பாதிப்பு, விரைவில் புதுப்பிக்க பயனர்களை வலியுறுத்துகிறது
மெட்டாபேஸ், பரவலாகப் பயன்படுத்தப்படும் வணிக நுண்ணறிவு மற்றும் தரவு காட்சிப்படுத்தல் மென்பொருளானது, கணிசமான பயனர் ஆபத்தை ஏற்படுத்தும் ஒரு முக்கியமான பாதுகாப்பு பாதிப்பை சமீபத்தில் வெளியிட்டது. குறைபாடு "மிகக் கடுமையானது" என வகைப்படுத்தப்பட்டுள்ளது மற்றும் பாதிக்கப்பட்ட கணினிகளில் முன் அங்கீகரிக்கப்பட்ட ரிமோட் குறியீடு செயல்படுத்தலுக்கு வழிவகுக்கும். பாதிப்பு CVE-2023-38646 ஆகக் கண்காணிக்கப்படுகிறது மற்றும் பதிப்பு 0.46.6.1 க்கு முந்தைய மெட்டாபேஸின் திறந்த மூல பதிப்புகளையும் 1.46.6.1 க்கு முந்தைய மெட்டாபேஸ் எண்டர்பிரைஸ் பதிப்புகளையும் பாதிக்கிறது. முன்னெச்சரிக்கை நடவடிக்கையாக, இந்தப் பாதுகாப்புச் சிக்கலுடன் தொடர்புடைய அபாயங்களைக் குறைக்க அனைத்துப் பயனர்களும் Metabase இன் சமீபத்திய பதிப்பிற்குப் புதுப்பிக்க வேண்டும்.
சமீபத்தியஆலோசனையில் , மெட்டாபேஸ் ஒரு முக்கியமான பாதுகாப்புக் குறைபாட்டை வெளிப்படுத்தியது, இது ஒரு தாக்குபவர் அங்கீகாரம் இல்லாமல் தன்னிச்சையான கட்டளைகளை மெட்டாபேஸ் சர்வரில் செயல்படுத்த அனுமதிக்கிறது, அதே சலுகைகளுடன் அங்கீகரிக்கப்படாத அணுகலைப் பெறுகிறது. 2023 ஜூலை 26 ஆம் தேதி வரை 6,936 மெட்டாபேஸ் நிகழ்வுகளில் 5,488 பாதிப்புக்குள்ளாகியிருப்பதாக ஷேடோசர்வர் அறக்கட்டளையின் ஆபத்தான தரவுகள் சுட்டிக்காட்டுகிறது. , மற்றும் ஆஸ்திரேலியா. சாத்தியமான அபாயங்கள் மற்றும் முக்கியமான தரவுகளுக்கான அங்கீகரிக்கப்படாத அணுகல் ஆகியவற்றிலிருந்து தங்கள் கணினிகளைப் பாதுகாக்க சமீபத்திய பதிப்புகளுக்குப் புதுப்பிப்பதன் மூலம் பயனர்கள் இந்தச் சிக்கலை அவசரமாகத் தீர்க்க வேண்டும்.
மென்பொருள் பிழைகளைக் கண்டறிந்து புகாரளிக்கும் நிறுவனமான Assetnote, மெட்டாபேஸில் சிக்கலைக் கண்டறிந்து அதைப் பற்றி அவர்களுக்குத் தெரியப்படுத்துகிறது. மென்பொருள் தரவுத்தளத்துடன் எவ்வாறு இணைகிறது என்பது தொடர்பான சிக்கல், மேலும் இது "/API/setup/validates" எனப்படும் மென்பொருளின் குறிப்பிட்ட பகுதியைப் பாதிக்கிறது. மென்பொருளின் தரவுத்தள இயக்கி, H2 எனப்படும், அங்கீகரிக்கப்படாத அணுகலை அனுமதிக்கும் வகையில் சிறப்பாக வடிவமைக்கப்பட்ட கோரிக்கையைப் பயன்படுத்தி மோசமான நடிகர்கள் இந்த பலவீனத்தைப் பயன்படுத்திக் கொள்ளலாம். இது கணினியின் மீதான கட்டுப்பாட்டையும் தொலைவிலிருந்து கட்டளைகளை இயக்கும் திறனையும் அவர்களுக்கு வழங்கலாம்.
இணைப்புகளை உடனடியாகப் பயன்படுத்த முடியாத பயனர்களுக்கு, கூடுதல் பாதுகாப்பு நடவடிக்கைகளை மேற்கொள்வது முக்கியம். கணினியைப் பாதுகாக்க, பாதிக்கப்படக்கூடிய "/API/setup" இறுதிப்புள்ளிக்கான கோரிக்கைகளை தடுப்பது மிகவும் நல்லது. மேலும், பாதிக்கப்பட்ட மெட்டாபேஸ் நிகழ்வை அதன் வெளிப்பாட்டைக் கட்டுப்படுத்த முன்னணி உற்பத்தி நெட்வொர்க்கிலிருந்து தனிமைப்படுத்துவது நல்லது. அவ்வாறு செய்வதன் மூலம், சாத்தியமான தாக்குபவர்கள் பாதிக்கப்படக்கூடிய இறுதிப்புள்ளியை அணுகுவது மிகவும் சவாலானதாக இருக்கும். கூடுதலாக, அடையாளம் காணப்பட்ட இறுதிப்புள்ளிக்கான சந்தேகத்திற்கிடமான கோரிக்கைகளை விழிப்புடன் கண்காணிப்பது அவசியம். இது பாதிப்பைப் பயன்படுத்துவதற்கான அங்கீகரிக்கப்படாத முயற்சிகளைக் கண்டறிந்து, சாத்தியமான தாக்குதல்களைத் தடுக்க சரியான நேரத்தில் நடவடிக்கை எடுக்க உதவும்.