今天我们释放Grafana 7.5.11 8.1.6。这些补丁版本包括一个重要的安全解决的问题影响到所有Grafana 2.0.1版本。
所有Grafana云2021-09-16以来实例得到了保护,审计没有发现任何使用这种攻击向量。Grafana企业客户提供更新二进制文件下禁止2021-09-28。
8.1.5包含一个条形图板的修复。我们相信,用户可以直接从8.1.4 8.1.6加快部署。
快照认证绕过cve - 2021 - 39226
总结
CVSS分数:9.8关键CVSS: 3.1 / AV: N /交流:L /公关:UI: N / N / S: U / C: H /我:H: H
我们收到了一个安全报告security@www.tubolov.com在2021-09-15的脆弱性Grafana关于快照功能。它后来被确定为影响Grafana 8.1.5从2.0.1版本。cve - 2021 - 39226已经分配给这个漏洞。
影响
未经身份验证的和经过身份验证的用户可以查看快照最低的数据库关键字(数据库中的最低数量指数)通过访问文字路径:
仪表板/ /快照:关键,或/ / api /快照:关键
如果快照“public_mode”配置设置被设置为true(与违约或假),未经身份验证的用户可以删除数据库快照最低的主要通过访问文字路径:
/ api / snapshots-delete /: deleteKey
不管快照“public_mode”设置,通过身份验证的用户可以删除数据库快照最低的主要通过访问文字路径:
/ / api /快照:关键,或/ api / snapshots-delete /: deleteKey
删除和查看的结合使一个完整的遍历所有快照数据而导致完整的快照数据丢失。
攻击审计
我们不能保证下面会识别所有攻击,所以如果你发现一些使用下面描述的审计过程,你应该考虑做全面评估。
通过反向代理/负载均衡器日志
确定如果你Grafana安装已经利用了这个漏洞,搜索你的反向代理/负载均衡器为实例访问日志的路径在哪里仪表板/ /快照:关键,/ / api /快照:关键,或/ api / snapshots-delete /: deleteKey和响应状态代码是200 (OK)。例如,如果您正在使用Kubernetes ingress-nginx控制器,并将日志发送给洛基,使用LogQL查询{工作= " nginx-ingress-controller "} | = \“\”状态”:200 | uri = " \ " \ ": \ " / api /快照:关键\”“。
通过Grafana企业审计功能
如果你启用了“日志web请求”在您的配置router_logging = true,寻找:“requestUri / api / snapshots-delete /”,:“requestUri / api /快照:键”,或“类型”:“快照”结合“行动”:“删除”。
打补丁的版本
释放8.1.6:
释放7.5.11:
bob彩票中奖计划解决方案和移植
下载并安装适当的版本的Grafana补丁。
Grafana云实例已经被修补Grafana企业客户提供更新二进制文件在禁运。
解决方案
如果由于某种原因你不能升级,您可以使用反向代理或类似的屏蔽文字路径:
/ / api /快照:关键/ api / snapshots-delete /: deleteKey仪表板/ /快照:关键/ / api /快照:关键
他们没有正常功能,可以禁用没有副作用。
时间轴和后期
这是一个详细的时间表从我们最初学习的问题。UTC。
- 2021-09-15 49:Tran越南老爷发送初始报告查看快照没有认证。
- 2021-09-15 15:56:最初的繁殖。
- 2021-09-15十七10:中等严重程度。
- 2021-09-15 18:58:解决方案部署在Grafana云。
- 2021-09-15上19:15:
/ / api /快照:关键发现是脆弱的。 - 2021-09-15 7:30:
/ / api /快照:关键阻塞Grafana云。 - 2021-09-16 09:31:
/ api / snapshots-delete /: deleteKey发现是脆弱的,被阻塞在Grafana云。从这里开始,云不再受影响。 - 2021-09-16 09:35:高严重性宣布。
- 2021-09-16 11:19:实现删除和查看允许枚举和永久的DoS。
- 2021-09-16 11:19:关键的声明。
- 2021-09-17 10:53:决心,没有周末的工作是必要的。虽然问题是至关重要的,范围非常有限。
- 2021-09-17 14:26:审计Grafana云总结说,没有证据表明剥削。
- 2021-09-23:Grafana云实例更新。
- 2021-09-28 12:00:Grafana企业发布的图片给客户下禁运。
- 2021-10-05:17:00时公开发布。
报告安全问题
如果你认为你已经找到了一个安全漏洞,请发送一份报告security@www.tubolov.com。这个地址可以用于所有Grafana实验室的开源和商业产品(包括但不限于Gbob电竞频道rafana,节奏,洛基,转k6、短歌,和Grafana云,Grafbob手机app官网ana企业,和www.tubolov.com)。我们只接受脆弱性报告在这个地址。我们希望你你的消息我们使用PGP加密密钥。指纹的关键是:
F988 bea 027 8932 049 f AE8E 5 caa D125 BE24 C5CA
关键是可用的keys.gnupg.net通过搜索security@grafana。
安全公告
我们在社区网站维护一个类别命名安全公告,我们将发布一个总结,修复,缓解细节任何包含安全修复补丁。你也可以订阅邮件更新这一类www.tubolov.com账户,如果你有一个登录社区网站,或通过更新从我们安全公告RSS提要。
确认
我们要感谢Tran越南老爷负责任的披露最初发现的漏洞。
