Grafana 6.7.4 i 7.0.2 z ważną poprawką bezpieczeństwa
Adam
Czas czytania: 1 min.
Poważna luka w Grafanie
Te wydania zawierają ważną poprawkę bezpieczeństwa dotyczącą problemu, który dotyczy wszystkich wersji Grafana od 3.0.1 do 7.0.1.
Awatar w Grafana 3.0.1 do 7.0.1 ma problem z nieprawidłową kontrolą dostępu SSRF. Ta luka pozwala każdemu nieuwierzytelnionemu użytkownikowi / klientowi zmusić Grafanę do wysyłania żądań HTTP na dowolny adres URL i zwracania jego wyniku użytkownikowi / klientowi. Można to wykorzystać do uzyskania informacji o sieci, w której działa Grafana.
„Pozwala to na dostęp do hosta lokalnego, sieci wewnętrznych, a przede wszystkim do instancji metadanych powiązanych z różnymi dostawcami chmury…
„Korzystając z tego exploita, udało mi się wyodrębnić dane uwierzytelniające AWS, które dały mi dostęp do większej liczby 10 000 serwerów w różnych programach z nagrodami za błędy” – wyjaśnia badacz bezpieczeństwa, Justin Gardner.
Uwaga: 2020-06-04 06:21 UTC usunęliśmy część osi czasu wskazującą, że jest to usterka RCE. Chociaż SSRF może być bardzo podobny do RCE, ten exploit nie pozwala atakującemu na wykonanie żadnego kodu poza utworzeniem żądania – pisze na swoim blogu Grafana.
Koniecznie sprawdźcie swoje oprogramowanie i skrypty używające Grafany w celu aktualizacji!
Tekst źródłowy: Blog – grafana.com oraz portswigger.net