Grafana 8.3.1, 8.2.7, 8.1.8和8.0.7发布了高级别的安全补丁

•2021年12月7日•3分钟

注意:我们在24小时内发布了CVE-2021-41090和CVE-2021-43798的补丁，并在三篇博文中的一篇中混合了它们。澄清一下:CVE-2021-41090是给Grafana的代理CVE-2021-43798用于Grafana该软件．只有CVE-2021-43798是一个0天的漏洞。

今天我们发布了Grafana 8.3.1、8.2.7、8.1.8和8.0.7。这个补丁版本包括一个高级别的安全补丁，影响到从v8.0.0-beta1到v8.3.0的Grafana版本。

版本v8.3.1，只包含一个安全补丁:

版本v8.2.7，只包含一个安全补丁:

版本v8.1.8，只包含一个安全补丁:

版本v8.0.7，只包含一个安全补丁:

路径遍历(cve - 2021 - 43798）

总结

在2021年12月3日，我们收到一份报告，说Grafana容易被目录遍历，允许访问本地文件。我们已经确认了v8.0.0-beta1到v8.3.0版本的这一点。多亏了我们的纵深防御措施，没有任何时候Grafana云是脆弱的。

脆弱URL路径为:< grafana_host_url >/公共/插件/ <“plugin-id”>在哪里<“plugin-id”>是任何已安装插件的插件ID。

每个Grafana实例都带有预安装的插件，如Prometheus插件或MySQL插件，因此以下url对于每个实例都是脆弱的:

< grafana_host_url > /公共/插件/ alertlist /
< grafana_host_url > /公共/插件/ annolist /
< grafana_host_url > /公共/ plugins /柱形图表
< grafana_host_url > /公共/插件/ bargauge /
< grafana_host_url > /公共/ plugins /烛台
< grafana_host_url > /公共/插件/监测/
< grafana_host_url > /公共/插件/ dashlist /
< grafana_host_url > /公共/插件/ elasticsearch /
< grafana_host_url > /公共/插件/测量/
< grafana_host_url > /公共/插件/ geomap /
< grafana_host_url > /公共/插件/ gettingstarted /
< grafana_host_url > /公共/插件/ grafana-azure-monitor-datasource /
< grafana_host_url > /公共/插件/图表/
< grafana_host_url > /公共/插件/热图
< grafana_host_url > /公共/插件/ /柱状图
< grafana_host_url > /公共/插件/ influxdb /
< grafana_host_url > /公共/插件/ jaeger /
< grafana_host_url > /公共/插件/日志/
< grafana_host_url > /公共/ plugins /洛基
< grafana_host_url > /公共/ plugins /该软件
< grafana_host_url > /公共/插件/ mysql /
< grafana_host_url > /公共/插件/新闻/
< grafana_host_url > /公共/插件/ nodeGraph /
< grafana_host_url > /公共/插件/ opentsdb
< grafana_host_url > /公共/插件/ piechart /
< grafana_host_url > /公共/插件/ pluginlist /
< grafana_host_url > /公共/ plugins / postgres
< grafana_host_url > /公共/ plugins /普罗米修斯
< grafana_host_url > /公共/插件/ stackdriver /
< grafana_host_url > /公共/插件/统计/
< grafana_host_url > /公共/插件/ state-timeline /
< grafana_host_url > /公共/插件/状态历史
< grafana_host_url > /公共/插件/表/
< grafana_host_url > /公共/插件/ table-old /
< grafana_host_url > / /公共/插件/节奏
< grafana_host_url > /公共/插件/ testdata /
< grafana_host_url > / /公共/插件/文本
< grafana_host_url > /公共/ plugins / timeseries
< grafana_host_url > / /公共/插件/欢迎
< grafana_host_url > /公共/插件/ zipkin /

我们已经收到该问题的CVE-2021-43798。该漏洞的CVSS评分为7.5高(CVSS:3.1 / AV: N /交流:L /公关:N / UI: N / S: U / C: H /我:N: N)适用于Grafana版本8.0.0-beta1至8.3.0

严重程度高的受影响版本

Grafana 8.0.0-beta1到8.3.0

bob彩票中奖计划解决办法和缓解措施

应该尽快升级v8.0.0-beta1到v8.3.0之间的所有安装。

如果不能升级，在Grafana前面运行一个反向代理，规范化请求的PATH将缓解该漏洞。例如，normalize_path派遣特使。

多亏了我们的纵深防御方法，Grafana云实例没有受到该漏洞的影响。

一如既往，我们与所有授权提供Grafana Pro的云供应商密切协调。他们已收到禁运下的早期通知，并确认在本公告发布时他们的产品是安全的。按字母顺序，这适用于Amazon Managed Grafana和Azure Managed Grafana。

时间线和事后分析

以下是从我们最初了解到这个问题开始的详细时间表。所有时间都是UTC。

20121-12-03:安全研究员发送初始报告
20121-12-03:确认8.0.0-beta1到8.3.0
2010-12-03:确认Grafana Cloud不受攻击
2010-12-03:确定并向Git提交安全补丁
2021年12月3日:发布时间确定:私人客户发布2021年12月07日，公开发布2021年12月14日
2010-12-06:收到关于该漏洞的第二个报告
2010-12-07:我们收到信息，该漏洞已被泄露给公众，将持续0天
2021-12-07:决定尽可能快地发布
2021-12-07:私人发布减少了2小时宽限期，而不是通常的1周时间
2012-12-07:正式发布

报告安全问题

如果您认为您发现了安全漏洞，请将报告发送到security@www.tubolov.com．此地址可用于Grafana Labs的所有开源和商业产品(包括但不限于Gbob电竞频道rafana、Grafana Cloud、Grafana Enterbob手机app官网prise和www.tubolov.com)。我们只能接受这个地址的漏洞报告。我们希望您使用我们的PGP密钥加密您的信息。关键指纹是

F988 7bea 027a 049f ae8e 5caa d125 8932 be24 c5ca

该密钥可从keyserver.ubuntu.com．