Grafana 6.7.4 i 7.0.2 z ważną poprawką bezpieczeństwa

Obrazek dla Grafana 6.7.4 i 7.0.2 z ważną poprawką bezpieczeństwa

Poważna luka w Grafanie

CVE-2020-13379

Te wydania zawierają ważną poprawkę bezpieczeństwa dotyczącą problemu, który dotyczy wszystkich wersji Grafana od 3.0.1 do 7.0.1.

Awatar w Grafana 3.0.1 do 7.0.1 ma problem z nieprawidłową kontrolą dostępu SSRF. Ta luka pozwala każdemu nieuwierzytelnionemu użytkownikowi / klientowi zmusić Grafanę do wysyłania żądań HTTP na dowolny adres URL i zwracania jego wyniku użytkownikowi / klientowi. Można to wykorzystać do uzyskania informacji o sieci, w której działa Grafana.

„Pozwala to na dostęp do hosta lokalnego, sieci wewnętrznych, a przede wszystkim do instancji metadanych powiązanych z różnymi dostawcami chmury…

„Korzystając z tego exploita, udało mi się wyodrębnić dane uwierzytelniające AWS, które dały mi dostęp do większej liczby 10 000 serwerów w różnych programach z nagrodami za błędy” – wyjaśnia badacz bezpieczeństwa, Justin Gardner.

Uwaga: 2020-06-04 06:21 UTC usunęliśmy część osi czasu wskazującą, że jest to usterka RCE. Chociaż SSRF może być bardzo podobny do RCE, ten exploit nie pozwala atakującemu na wykonanie żadnego kodu poza utworzeniem żądania – pisze na swoim blogu  Grafana.

Koniecznie sprawdźcie swoje oprogramowanie i skrypty używające Grafany w celu aktualizacji!

Tekst źródłowy: Blog – grafana.com oraz portswigger.net

 

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *