今天我们发布了Grafana Enterprise 8.5.3和7.5.16。这些补丁版本包括一个中等严重程度的安全修复,该修复将影响从v7.4.0-beta1到v8.5.2的Grafana企业版。
v8.5.3版本,只包含一个安全修复:
v7.5.16,只包含一个安全修复:
SSRF -数据源网络限制绕过HTTP重定向(cve - 2022 - 29170)
总结
在5月2日,在一次内部安全审计中,我们发现了一个安全漏洞,该漏洞会影响正在使用请求安全特性。
先决条件
为了重现Grafana Enterprise中的漏洞,必须满足以下条件:
- 请求安全性允许列表特性配置为至少使用一个
host_allow_list或host_deny_list. - 有可能向Grafana添加一个自定义数据源,它返回HTTP重定向。
请求安全性允许列表允许用户配置Grafana,使实例不调用或只调用特定的主机。如果恶意数据源(运行在允许的主机上)返回HTTP重定向到禁止的主机,则该漏洞允许用户绕过这些安全配置。
我们已经收到这个问题的CVE-2022-29170。对于Grafana Enterprise版本7.4.0-beta1到8.5.2,此漏洞的CVSS评分为6.6中等(CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:N/A:L)。
Grafana OSS还有Grafana云不受此漏洞影响。
中度严重程度的受影响版本
Grafana Enterprise 7.4.0-beta1到8.5.2
bob彩票中奖计划解决办法和缓解措施
满足上述条件的所有在v7.4.0-beta1到v8.5.2之间的Grafana Enterprise安装都应尽快升级。
一如既往,我们与所有授权提供Grafana Pro的云提供商密切协调。他们已收到禁运下的早期通知,并确认在此宣布时他们的产品是安全的。按字母顺序,这适用于Amazon Managed Grafana和Azure Managed Grafana。
时间轴和事后分析
以下是从我们最初得知这个问题开始的详细时间表。所有时间都是UTC时间。
- Grafana Enterprise内部报告了一个与请求安全特性相关的潜在问题
- 2022-05-02 12:33问题升级,确认漏洞可复制
- 2022-05-02 15:00决定发布私有补丁
- 2022-05-02 15:21 CVE请求
- 2022-05-03 15:58计划于2022-05-05公开发布,计划于2022-05-19公开发布
- 2022-05-05 12:00私人发布
- 2022-05-19 12:00公开发布
报告安全问题
如果您认为发现了安全漏洞,请将报告发送至security@www.tubolov.com.此地址可用于Grafana Labs的所有开源和商业产品(包括但不限于Gbob电竞频道rafana、Grafana Cloud、Grafana Enterbob手机app官网prise和www.tubolov.com)。我们只能在这个地址接受漏洞报告。
请使用我们的PGP密钥加密您的信息给我们。密钥指纹为:
F988 7bea 027a 049f ae8e 5caa d125 8932 be24 c5ca
该密钥可从keyserver.ubuntu.com.
bob电竞频道Grafana实验室将给您发送回复,说明处理您报告的下一步步骤。在初步回复您的报告后,安全团队将向您通报修复和全面公告的进展,我们可能会要求您提供额外信息或指导。
重要的是:我们要求您在修复和公布漏洞之前不要公开漏洞,除非您已经收到Grafana实验室安全团队的回复,可以这样做。bob电竞频道
安全公告
我们维持一个我们博客上的安全类别,我们将始终发布包含安全补丁的任何补丁的摘要、补救和缓解细节。
你也可以订阅我们的RSS提要.
