点石成金打一生肖
首頁 -> 安全研究

安全研究

安全漏洞
Kibana遠程代碼執行漏洞(CVE-2019-7610)

發布日期:2019-02-07
更新日期:2019-11-06

受影響系統:
ElasticSearch Kibana < 6.6.1
ElasticSearch Kibana < 5.6.15
不受影響系統:
ElasticSearch Kibana >= 6.6.1
ElasticSearch Kibana 5.6.15
描述:
CVE(CAN) ID: CVE-2019-7610

Kibana 是 Elasticsearch 的開源數據可視化插件。它為Elasticsearch提供可視化功能,可以用來搜索和查看存儲在Elasticsearch索引中的數據,并可以將數據以各種圖標、表格和地圖的形式進行可視化展示。

Kibana 6.6.1之前版本,在security audit logger實現中存在任意代碼執行漏洞。如果Kibana實例將xpack.security.audit.enabled設置為true,遠程攻擊者可通過發送請求利用該漏洞執行JavaScript代碼并可能以Kibana進程權限執行任意命令。

<*來源:Elasticsearch
  *>

建議:
廠商補丁:

ElasticSearch
-------------
目前廠商已經發布了升級補丁以修復這個安全問題,請到廠商的主頁下載:

https://discuss.elastic.co/t/elastic-stack-6-6-1-and-5-6-15-security-update/169077
https://www.elastic.co/community/security
https://access.redhat.com/errata/RHBA-2019:2824
https://access.redhat.com/errata/RHSA-2019:2860

瀏覽次數:219
嚴重程度:0(網友投票)
本安全漏洞由綠盟科技翻譯整理,版權所有,未經許可,不得轉載
綠盟科技給您安全的保障
点石成金打一生肖 5639059843159310896497974694236133293164850458132437282653932120846100813159675600709634914629712335 (function(){ var bp = document.createElement('script'); var curProtocol = window.location.protocol.split(':')[0]; if (curProtocol === 'https') { bp.src = 'https://zz.bdstatic.com/linksubmit/push.js'; } else { bp.src = 'http://push.zhanzhang.baidu.com/push.js'; } var s = document.getElementsByTagName("script")[0]; s.parentNode.insertBefore(bp, s); })();