Az új Grafana-sebezhetőség bárkiből adminisztrátort csinálhat
A Grafana Labs figyelmeztet egy súlyos sérülékenységre (CVE-2025-41115) az Enterprise verzióban, ami miatt a rendszer új felhasználókat adminisztrátorként ismerhet fel, illetve jogosultságbővítéshez vezethet. A hiba csak akkor fordulhat elő, ha az SCIM (rendszerek közötti identitáskezelés) funkció engedélyezve és beállítva van. Ehhez mind az ‘enableSCIM’, mind a ‘user_sync_enabled’ opciókat igazra kell állítani, hogy egy rosszindulatú vagy feltört SCIM-kliens egy felhasználót egy külső, numerikus azonosítóval (externalId) regisztráljon, amely egy meglévő belső fiókhoz, akár adminisztrátori fiókhoz is, hozzárendelhető.
Hogyan működik a sebezhetőség?
Az externalId egy külső azonosító, amellyel az identitáskezelő rendszer azonosítja a felhasználókat. A Grafana ezt a numerikus értéket közvetlenül a belső felhasználói azonosítóhoz (user.uid) társította. Így például az externalId „1” úgy értelmezhető, mintha egy létező adminisztrátor lépett volna be. Ez lehetőséget ad arra, hogy egy újonnan létrehozott felhasználó adminisztrátorként lépjen be a rendszerbe.
Érintett verziók, javítás és védekezés
A sebezhetőség a Grafana Enterprise 12.0.0 és 12.2.1 közötti verzióit érinti, ha az SCIM engedélyezve van. A Grafana OSS felhasználói nem érintettek, a Grafana Cloud – beleértve az Amazon Managed Grafana és az Azure Managed Grafana szolgáltatásokat – már megkapta a javítást. Az önállóan kezelt verziók adminisztrátorai a következő frissítésekkel védhetik ki a támadást: 12.3.0, 12.2.1, 12.1.3, illetve 12.0.6. Fontos mielőbb frissíteni, vagy kikapcsolni az SCIM-et, hogy elkerülhető legyen a jogosulatlan hozzáférés.
A hibát november 4-én fedezték fel egy belső audit során, és 24 órán belül javították. A Grafana Cloudban nem tapasztaltak visszaélést. A nyilvános biztonsági frissítés november 19-én jelent meg. Az elmúlt hónapban megnövekedett forgalmat észleltek korábbi útvonalbejárási hibák felkutatására, ami azt jelzi, hogy a támadók folyamatosan keresik az új sérülékenységeket az ilyen rendszerekben.
👀 A kutatók felfedezték, hogy mindössze egyetlen DNS-bázispár módosítása elegendő ahhoz, hogy nőstény egerek embrionális fejlődése során hím nemi szervek és herék fejlődjenek ki...
Péntek este valóban új korszak kezdődött az űrkutatásban: a NASA négy űrhajóst vitt a Hold körül, több mint 1,1 millió kilométert megtéve, majd sikeresen visszahozta őket a Csendes-óceánba, Kalifornia partjai közelében...
A hadseregek és hírszerző szervezetek egyre gyakrabban támaszkodnak mesterségesintelligencia-rendszerekre, például az információk gyorsabb feldolgozásában vagy válsághelyzetek tervezésében...
📌 Különösen igaz ez akkor, ha Amerika nyugati felét vizsgáljuk: a mai Észak-Amerika számos tájegysége nem létezne a valaha volt Farallon-lemez nélkül...
Ilyen eset például, amikor a Microsoft minden lehetséges helyre betuszkolja a Copilotot a Windows rendszerben, anélkül hogy erről a felhasználók szabadon dönthetnének...
💰 Egyetlen virális X-poszt miatt robbant fel a net: Phoebe Gates, Bill Gates és Melinda French Gates legfiatalabb lánya épp egy startupról tárgyalt egy influenszerrel...
Érdemes megvizsgálni, hogy miként sikerült az Intuit fejlesztőcsapatának néhány hónapnyi adótörvény-feldolgozást néhány órába sűríteni, miközben olyan munkafolyamatot dolgoztak ki, amelyből bármelyik szabályozott iparág profitálhat...
🛩 A légiforgalmi irányítók hiánya egyre nagyobb problémát jelent az Egyesült Államokban, ezért most a Szövetségi Légügyi Hivatal szokatlan módszerhez nyúl: kifejezetten játékosokat szólít meg új kampányában...
🚀 Péntek este látványos vízreszállással ért véget az Artemis II küldetés, amikor az Orion űrkapszula mintegy 15 perces, izzó légkörön való áthaladás után biztonságosan a Csendes-óceánba csapódott San Diego partjainál...
A digitális vagyonok világa napjainkra túllépett a kezdeti hype-on. Ami decentralizált értékátviteli kísérletként indult, mára komoly átalakulásokat ígér a tőkepiacok, letéti rendszerek, elszámolás és tulajdonjog terén...
🕵 Több kaliforniai beteg most jogi eljárást indított, mert egyes kórházak állításuk szerint bármiféle beleegyezés nélkül rögzítették a velük folytatott orvosi beszélgetéseket egy MI-alapú szoftverrel...
Egyre többet tudunk arról, hogy a mindennapi zöldségekben megtalálható zeaxantin nemcsak a látás egészségét óvja, hanem a daganatok elleni harcban is kulcsszerepet játszhat...
Mit hozott ez a nap a történelemben? A mongol hódítástól és brit koronázástól kezdve az Apollo 13 (Apollo–13) drámai startján, Idi Amin bukásán és az algíri merényleteken át egészen a szumátrai nagy földrengésekig sorakoznak a mérföldkövek...
Az Egyesült Államokban közel 4000 ipari vezérlőrendszer vált sebezhetővé iráni kibertámadásokkal szemben, miután kiderült, hogy számos Rockwell Automation PLC közvetlenül az internetre csatlakozik...
💁 A privacy-őrültek évekig boldogan nyomták a csetet a Signalon, hiszen csak a küldő és a fogadó látja az üzeneteket, minden szuperül titkosított, az üzenetek ráadásul idővel elpárolognak a telefonból...
⚡ Az utóbbi években sok PC-rajongót tartott izgalomban vagy éppen aggodalomban a csúcskategóriás grafikus kártyák, például az RTX 4090 vagy a hamarosan megjelenő RTX 5090, valamint a hozzájuk tartozó tápkábelek leolvadása...
