今天我们发布了Grafana 7.5.11和8.1.6。这些补丁版本包括一个重要的安全修复,该问题会影响从2.0.1开始的所有Grafana版本。
所有Grafana云实例自2021-09-16以来一直受到保护,审计没有发现任何使用此攻击向量的情况。Grafana企业在2021-09-28的禁令下,向客户提供了更新的二进制文件。
8.1.5包含一个单一的修复柱状图面板。我们相信用户可以通过直接从8.1.4迁移到8.1.6来加快部署。
CVE-2021-39226快照认证旁路
总结
CVSS Score: 9.8 Critical CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
我们收到一份安全报告security@www.tubolov.com关于Grafana中关于快照功能的漏洞。后来发现它影响了Grafana 2.0.1到8.1.5版本。cve - 2021 - 39226已被分配到此漏洞。
影响
未验证和已验证的用户都可以通过访问文本路径查看数据库键值最低的快照(数据库索引中最低的数字):
仪表板/ /快照:关键
,或/ / api /快照:关键
如果快照“public_mode”配置设置为true(而不是默认或false),未经身份验证的用户可以通过访问文本路径删除数据库键最低的快照:
/ api / snapshots-delete /: deleteKey
不管快照的“public_mode”设置如何,通过身份验证的用户都可以通过访问文本路径删除数据库键值最低的快照:
/ / api /快照:关键
,或/ api / snapshots-delete /: deleteKey
删除和查看的组合可以完整地遍历所有快照数据,但会导致完整的快照数据丢失。
攻击审计
我们不能保证以下内容将识别所有攻击,因此如果您使用以下描述的审计过程发现了一些攻击,您应该考虑进行全面评估。
通过反向代理/负载均衡器日志
要确定您的Grafana安装是否被利用了此漏洞,请通过反向代理/负载平衡器访问日志搜索路径所在的实例仪表板/ /快照:关键
,/ / api /快照:关键
,或/ api / snapshots-delete /: deleteKey
,响应状态码为200 (OK)。例如,如果您正在使用Kubernetes ingress-nginx控制器并向Loki发送日志,则使用LogQL查询{工作= " nginx-ingress-controller "} | = \“\”状态”:200 | uri = " \ " \ ": \ " / api /快照:关键\”“
.
通过Grafana企业审计功能
如果您在配置中启用了“记录web请求”Router_logging = true
,寻找:“requestUri / api / snapshots-delete /”
,:“requestUri / api /快照:键”
,或“类型”:“快照”
结合“行动”:“删除”
.
打补丁的版本
释放8.1.6:
释放7.5.11:
bob彩票中奖计划解决办法和缓解措施
下载并安装适合您的Grafana版本的补丁。
Grafana云实例已经被修补,并且Grafana企业在禁止的情况下,向客户提供了更新的二进制文件。
解决方案
如果由于某种原因你不能升级,你可以使用反向代理或类似的方式来阻止对文字路径的访问:
/ / api /快照:关键
/ api / snapshots-delete /: deleteKey
仪表板/ /快照:关键
/ / api /快照:关键
它们没有正常的功能,可以在没有副作用的情况下停用。
时间轴和事后分析
以下是从我们最初得知这个问题开始的详细时间表。所有时间都是UTC时间。
- 2021-09-15 49:越共发送未鉴权查看快照的初始报告。
- 2021-09-15 15:56:初始复制。
- 2021-09-15 17:10:中度。
- 2021-09-15 18:58:在Grafana Cloud上部署工作区。
- 2021-09-15上19:15:
/ / api /快照:关键
也被发现很脆弱。 - 2021-09-15 7:30:
/ / api /快照:关键
在格拉夫纳云上受阻。 - 2021-09-16 09:31:
/ api / snapshots-delete /: deleteKey
被发现也是脆弱的,并且被阻挡在Grafana云上。从现在开始,云不再受影响。 - 2021-09-16 09:35:高级别。
- 2021-09-16 11:19:实现删除和查看的组合,允许枚举和永久DoS。
- 2021-09-16 11:19:紧急宣布。
- 2021-09-17 10:53:决定不需要周末工作。虽然问题很关键,但范围非常有限。
- 2021-09-17 14:26:对Grafana Cloud的审计结束,没有剥削的证据。
- 2021-09-23: Grafana Cloud实例更新。
- 2021-09-28 12:00: Grafana企业图片发布给客户。
- 2021-10-05 17:00:公开发布。
报告安全问题
如果您认为发现了安全漏洞,请将报告发送至security@www.tubolov.com.此地址可用于Grafana Labs的所有开源和商业产品(包括但不限于Gbob电竞频道rafana、Tempo、Loki、k6、Tanka和Grafanabob手机app官网 Cloud、Grafana Enterprise和www.tubolov.com)。我们只接受这个地址的漏洞报告。我们更希望您使用我们的PGP密钥加密您的消息。密钥指纹为:
F988 7bea 027a 049f ae8e 5caa d125 8932 be24 c5ca
该密钥可从keys.gnupg.net通过搜索security@grafana.
安全公告
我们在社区站点上维护了一个名为安全公告,我们将在其中发布包含安全补丁的任何补丁的摘要、补救和缓解细节。如果你有一个www.tubolov.com帐户,你也可以订阅这个类别的电子邮件更新,并登录到社区网站,或通过我们的更新保安通告RSS频道.
确认
我们要感谢越共负责地向我们披露最初发现的漏洞。