Решение для аналитики и интерактивной визуализации с открытым исходным кодом Grafana сегодня получила экстренное обновление для устранения серьезной уязвимости нулевого дня, которая обеспечивала удаленный доступ к локальным файлам.
Подробная информация о проблеме начала публиковаться ранее на этой неделе, до того, как Grafana Labs выпустила обновления для уязвимых версий с 8.0.0-beta1 до 8.3.0.
Путь к URL-адресу плагина
Ранее сегодня были выпущены Grafana 8.3.1, 8.2.7, 8.1.8 и 8.0.7 для исправления уязвимости обхода пути, которая могла позволить злоумышленнику выйти за пределы папки Grafana и получить удаленный доступ к закрытым местам на сервере, например / etc / passwd /.
Сегодня Grafana Labs опубликовала сообщение в блоге, в котором объясняется, что проблема связана с URL-адресом установленных подключаемых модулей, который был уязвим для атак с обходом пути.
Поскольку все установки Grafana имеют набор плагинов, установленных по умолчанию, уязвимый URL-путь присутствовал в каждом экземпляре приложения.
Grafana Labs получила отчет об уязвимости в конце прошлой недели, 3 декабря, и в тот же день предложила исправление.
Разработчик запланировал выпуск для частных клиентов на сегодня и публичный на 14 декабря.
PoC распространяется через Twitter и GitHub
Однако вчера поступил второй отчет, в котором говорилось, что информация об этой проблеме начала распространяться, и подтверждение пришло, когда новости об ошибке появились в открытом доступе.
Поскольку ошибка, о которой сообщалось в частном порядке, стала утечкой нулевого дня, Grafana Labs была вынуждена опубликовать исправление:
- 2021-12-06: Получен второй отчет об уязвимости
- 2021-12-07: Мы получили информацию о том, что уязвимость стала достоянием общественности, превратив ее в нулевой день.
- 2021-12-07: Принято решение выпустить как можно скорее
- 2021-12-07: Частный выпуск с сокращенным двухчасовым льготным периодом, а не с обычным недельным периодом
- 2021-12-07: Публичный релиз
Теперь отслеживаемая как CVE-2021-43798, уязвимость получила 7,5 баллов за серьезность и по-прежнему может использоваться на локальных серверах, которые не были обновлены.
Как сообщил сегодня разработчик, экземпляры Grafana Cloud не пострадали.
Согласно публичным сообщениям, в общедоступном Интернете доступны тысячи серверов Grafana. Если обновление уязвимого экземпляра невозможно своевременно, рекомендуется сделать сервер недоступным из общедоступной сети.
Последнее обновление 05.01.2023
