Grafana 6.7.4 i 7.0.2 z ważną poprawką bezpieczeństwa

12 czerwca, 2020 7:07


img

Poważna luka w Grafanie

CVE-2020-13379

Te wydania zawierają ważną poprawkę bezpieczeństwa dotyczącą problemu, który dotyczy wszystkich wersji Grafana od 3.0.1 do 7.0.1.

Awatar w Grafana 3.0.1 do 7.0.1 ma problem z nieprawidłową kontrolą dostępu SSRF. Ta luka pozwala każdemu nieuwierzytelnionemu użytkownikowi / klientowi zmusić Grafanę do wysyłania żądań HTTP na dowolny adres URL i zwracania jego wyniku użytkownikowi / klientowi. Można to wykorzystać do uzyskania informacji o sieci, w której działa Grafana.

„Pozwala to na dostęp do hosta lokalnego, sieci wewnętrznych, a przede wszystkim do instancji metadanych powiązanych z różnymi dostawcami chmury…

„Korzystając z tego exploita, udało mi się wyodrębnić dane uwierzytelniające AWS, które dały mi dostęp do większej liczby 10 000 serwerów w różnych programach z nagrodami za błędy” – wyjaśnia badacz bezpieczeństwa, Justin Gardner.

Uwaga: 2020-06-04 06:21 UTC usunęliśmy część osi czasu wskazującą, że jest to usterka RCE. Chociaż SSRF może być bardzo podobny do RCE, ten exploit nie pozwala atakującemu na wykonanie żadnego kodu poza utworzeniem żądania – pisze na swoim blogu  Grafana.

Koniecznie sprawdźcie swoje oprogramowanie i skrypty używające Grafany w celu aktualizacji!

Tekst źródłowy: Blog – grafana.com oraz portswigger.net

 


Podziel się lub polub!

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

seventeen + 8 =


Hosting w HITME
Dedykowany Hosting VPS

Z administracją i panelem DirectAdmin™

już od 49,99zł/m-c

BLOG
Przeglądasz oficjalny blog HitMe.pl - miejsce pełne nowinek i wiedzy na tematy związane z hostingiem oraz konfiguracją serwerów.
Nasz partner
Czy wiesz...?