博客/工程

Grafana代理0.20.1和0.21.2发布安全补丁

罗伯特Lankford
2021年12月8日 5分钟

注意:我们发布的补丁cve - 2021 - 41090和cve - 2021 - 43798在24小时内和混合在三个博客之一。弄清楚:Grafana cve - 2021 - 41090代理并为Grafana cve - 2021 - 43798该软件。只有cve - 2021 - 43798是一个利用0天。

bob电竞频道Grafana实验室内部发现的安全漏洞Grafana代理。这个漏洞被分配cve - 2021 - 41090, CVSS分数为7.2(高),可以发现Github

我们还没有发现任何证据表明这个漏洞被利用,但谨慎的态度,我们要通知所有的用户,这样他们就可以采取行动。

内联秘密接触(cve - 2021 - 41090)

总结

2021年5月24日,Grafana代理v0.14.0添加了一个新的/——/配置端点的API返回其运行时配置。这个版本揭示了一个问题,一些内联秘密用于配置代理都将暴露在明文/——/配置端点,刮的用户服务,/代理/ api / v1 /配置/{名称}

一个“内联”的秘密是一个API密钥或密码直接存储到配置YAML。这意味着文件的机密,如password_file,并不影响这个漏洞。下面的秘密被公开:

  • 内联度量实例配置的秘密基地是暴露在YAML文件/——/配置
  • 内联的秘密暴露在集成/——/配置
  • 内联秘密领事ACL令牌和ETCD基本认证时刮服务配置/——/配置
  • 内联卡夫卡OpenTelemetry-Collector跟踪接收机的秘密/——/配置
  • 内联秘密为度量实例配置从刮加载服务公开/代理/ api / v1 /配置/{名称}

影响秘密并不仅限于Grafana云或企业的API密钥,但任何秘密使用。例如,如果运行集成使用凭证来连接数据库,这些凭证也不当暴露出来。

我们发布了Grafana代理v0.20.1和v0.21.22021-12-08解决这个漏洞,正确的返回YAML配置时上面列出的秘密。作为防范措施,这些安全补丁也禁用/——/配置/代理/ api / v1 /配置/{名称}默认的端点。开始的代理——config.enable-read-api修补后重新启用它们。

bob彩票中奖计划解决方案和移植

我们强烈建议所有用户升级,即使目前没有受到这种脆弱性的影响。

注意,Grafana代理默认监听所有网络接口。根据防火墙规则和网络Grafana代理接触,我们也强烈建议更改任何影响的秘密。

请参考下面的流程图,以帮助确定你应该采取行动:

一般安全建议,我们建议只使用秘密包含所需的最小权限设置Grafana代理操作。

如果你想避免停机时间滚动键时,您应该创建新的API键和更新你的Grafana代理配置之前删除旧的关键影响。

Grafana云

  1. 登录到Grafana.com帐户和访问Grafana云门户(www.tubolov.com/orgs/“yourorgname”)。这是不同于你的.grafana.net的URL。
  2. 门户中,左侧导航菜单上寻找“安全”部分并单击“API键。”
  3. 在API密钥页面,删除任何关键是通过这个漏洞暴露不当。如果您曾经使用过新员工培训预排送指标Grafana云,这包括自动生成<“机构名称”> -easystart-prom-publisher关键。
  4. 重建你的API密钥。

    • 如果您创建了自己的钥匙和代理配置

      • 在API密钥页面,点击“+添加API键”来创建一个新的Grafana云API键

        1. 为关键指定一个名称(如“grafana-agent-key”)
        2. 分配一个角色类型的“MetricsPublisher”

    • 如果你使用我们的一个集成通过新员工培训预排送指标Grafana云

      • 安装一个新的集成或导航到现有集成获取一个新的代理配置,自动生成一个新密钥。
  5. 更新你的Grafana代理配置使用新创建的键。
  6. 重复API键创建和删除过程对于每个组织的影响。你可以选择一个不同的组织属于从云门户,通过下拉页面的左上角。

Grafana企业指标

  1. 使用宝石Grafana插件或使用管理API,手动为每个受影响的API键,创建一个新的并行API相同的访问的关键政策应该已经指标:写权限。
  2. 更新你的Grafana代理配置使用新的API密钥。
  3. 删除旧影响API密钥。

集成

请参阅相应的集成您正在使用的文档所需的最小权限列表:

请查阅文档为每个软件删除旧的凭证影响。

下一个步骤

请继续关注这一事件的事后与我们的计划,以防止类似的问题。

报告安全问题

如果你认为你已经找到了一个安全漏洞,请发送一份报告security@www.tubolov.com。这个地址可以用于所有Grafana实验室的开源和商业产品(包括但不限于Gbob电竞频道rafana Grafana云,Grafana企业,和www.tubolov.com)。bob手机app官网我们只能接受漏洞报告在这个地址。我们希望你加密消息我们通过使用PGP的关键。指纹的关键是

F988 bea 027 8932 049 f AE8E 5 caa D125 BE24 C5CA

关键是可用的keyserver.ubuntu.com

安全公告

我们保持一个在我们的博客上安全类别,我们总是会发布一个总结,修复,缓解细节任何包含安全修复补丁。

你也可以订阅我们的RSS提要

在这一页上
滚动的更多

下一个