మెటాబేస్ BI సాఫ్ట్వేర్లో క్రిటికల్ సెక్యూరిటీ వల్నరబిలిటీ కనుగొనబడింది, ASAP అప్డేట్ చేయమని వినియోగదారులను కోరింది
మెటాబేస్, విస్తృతంగా ఉపయోగించే బిజినెస్ ఇంటెలిజెన్స్ మరియు డేటా విజువలైజేషన్ సాఫ్ట్వేర్, ఇటీవలే ఒక క్లిష్టమైన భద్రతా దుర్బలత్వాన్ని ఆవిష్కరించింది, ఇది వినియోగదారులకు గణనీయమైన ప్రమాదాన్ని కలిగిస్తుంది. ఈ లోపం "అత్యంత తీవ్రమైనది"గా వర్గీకరించబడింది మరియు ప్రభావిత సిస్టమ్లపై ముందుగా ప్రామాణీకరించబడిన రిమోట్ కోడ్ అమలుకు దారితీయవచ్చు. దుర్బలత్వం CVE-2023-38646గా ట్రాక్ చేయబడింది మరియు వెర్షన్ 0.46.6.1కి ముందు మెటాబేస్ ఓపెన్ సోర్స్ ఎడిషన్లను మరియు 1.46.6.1కి ముందు మెటాబేస్ ఎంటర్ప్రైజ్ వెర్షన్లను ప్రభావితం చేస్తుంది. ముందుజాగ్రత్త చర్యగా, ఈ భద్రతా సమస్యతో ముడిపడి ఉన్న సంభావ్య ప్రమాదాలను తగ్గించడానికి వినియోగదారులందరూ తప్పనిసరిగా మెటాబేస్ యొక్క తాజా వెర్షన్కు అప్డేట్ చేయాలి.
ఇటీవలిఅడ్వైజరీలో , మెటాబేస్ ఒక క్లిష్టమైన భద్రతా లోపాన్ని వెల్లడించింది, ఇది దాడి చేసే వ్యక్తిని మెటాబేస్ సర్వర్లో ప్రామాణీకరణ లేకుండా ఏకపక్ష ఆదేశాలను అమలు చేయడానికి అనుమతిస్తుంది, అదే అధికారాలతో అనధికార ప్రాప్యతను పొందుతుంది. చురుకైన దోపిడీకి ఎటువంటి ఆధారాలు లేనప్పటికీ, జూలై 26, 2023 నాటికి 6,936 మెటాబేస్ ఉదంతాలలో 5,488 ప్రమాదానికి గురవుతున్నాయని షాడోసర్వర్ ఫౌండేషన్ నుండి భయంకరమైన డేటా సూచిస్తుంది. ఈ కేసులు యునైటెడ్ స్టేట్స్, ఇండియా, జర్మనీ, ఫ్రాన్స్, యునైటెడ్ కింగ్డమ్, బ్రెజిల్లో ప్రబలంగా ఉన్నాయి. , మరియు ఆస్ట్రేలియా. వినియోగదారులు తమ సిస్టమ్లను సంభావ్య ప్రమాదాల నుండి మరియు సున్నితమైన డేటాకు అనధికారిక యాక్సెస్ నుండి రక్షించడానికి తాజా వెర్షన్లకు అప్డేట్ చేయడం ద్వారా ఈ సమస్యను అత్యవసరంగా పరిష్కరించాలి.
Assetnote, సాఫ్ట్వేర్ బగ్లను కనుగొని నివేదించే సంస్థ, మెటాబేస్లో సమస్యను కనుగొని దాని గురించి వారికి తెలియజేయండి. సమస్య సాఫ్ట్వేర్ డేటాబేస్కి ఎలా కనెక్ట్ అవుతుందనే దానికి సంబంధించినది మరియు ఇది "/API/setup/validates" అనే సాఫ్ట్వేర్లోని నిర్దిష్ట భాగాన్ని ప్రభావితం చేస్తుంది. అనధికారిక యాక్సెస్ను అనుమతించేలా సాఫ్ట్వేర్ డేటాబేస్ డ్రైవర్ను మోసగించే H2 అని పిలువబడే ప్రత్యేకంగా రూపొందించిన అభ్యర్థనను ఉపయోగించడం ద్వారా చెడు నటులు ఈ బలహీనతను ఉపయోగించుకోవచ్చు. అది వారికి సిస్టమ్పై నియంత్రణను మరియు రిమోట్గా ఆదేశాలను అమలు చేయగల సామర్థ్యాన్ని ఇస్తుంది.
ప్యాచ్లను వెంటనే వర్తింపజేయలేని వినియోగదారుల కోసం, అదనపు రక్షణ చర్యలు తీసుకోవడం చాలా ముఖ్యం. సిస్టమ్ను రక్షించడానికి హాని కలిగించే "/API/సెటప్" ఎండ్పాయింట్కు ఏవైనా అభ్యర్థనలను నిరోధించడం చాలా మంచిది. అంతేకాకుండా, మీరు దాని ఎక్స్పోజర్ను పరిమితం చేయడానికి ప్రముఖ ఉత్పత్తి నెట్వర్క్ నుండి ప్రభావితమైన మెటాబేస్ ఉదాహరణను వేరుచేయడం మంచిది. అలా చేయడం ద్వారా, సంభావ్య దాడి చేసేవారు హాని కలిగించే ముగింపు బిందువును యాక్సెస్ చేయడం మరింత సవాలుగా భావిస్తారు. అదనంగా, గుర్తించబడిన ఎండ్పాయింట్కు అనుమానాస్పద అభ్యర్థనల కోసం అప్రమత్తమైన పర్యవేక్షణ అవసరం. దుర్బలత్వాన్ని ఉపయోగించుకునే అనధికార ప్రయత్నాలను గుర్తించడంలో మరియు సంభావ్య దాడులను నివారించడానికి సకాలంలో చర్య తీసుకోవడంలో ఇది సహాయపడుతుంది.