今天我们发布了Grafana 9.0.3、8.5.9、8.4.10和8.3.10。此补丁发布包括针对两个影响Grafana v8.0至v9.0.1 (CVE-2022-31097)和Grafana v.5.3至v9.0.1 (CVE-2022-31107)的漏洞的高严重性安全修复。
v9.0.3版本,最新补丁,也包含安全修复:
v8.5.9版本,只包含安全修复:
v8.4.10版本,仅包含安全修复:
v8.3.10版本,仅包含安全修复:
已使用相应的补丁Grafana云一如既往,我们与所有授权提供Grafana Pro的云提供商密切协调。他们已收到禁运下的早期通知,并确认在此宣布时他们的产品是安全的。这适用于Amazon Managed Grafana。
确认
我们要感谢Maxim Misharin (Stored XSS)和HTTPVoid团队(OAuth账户接管)负责任地披露这些漏洞。
存储XSS (cve - 2022 - 31097)
CVE-2022-31097摘要
外部安全研究员Maxim Misharin联系了Grafana Labs,公开了Grafana Alerting(在Gbob电竞频道rafana 8.0中引入时称为统一警报)中存储的XSS漏洞。我们认为此漏洞的评级为CVSS 7.3 (CVSS:7.3/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:N)。
影响版本
要受到影响,必须启用Grafana警报。(注:Grafana alert在Grafana 9.0中默认激活。)
如何繁殖
确保激活Grafana警报(以前称为统一警报)。
- 使用用户具有编辑器权限的帐户,单击报警然后预警规则.
- 控件创建一个新的警报规则新的警报规则按钮。
- 第1节,转到设置查询和告警条件.
- 在步骤A中,选择任何现有数据源。
- 3 .转到为您的警告添加详细信息
- 提供规则名、文件夹和组名。
- 用以下内容填写Runbook URL:
javascript:警报(xss)
. - 保存新的警报规则。
- 在单击时检查是否出现新的警报规则报警>预警规则>然后转到您为警报规则创建的文件夹名称。
- 控件展开规则详细信息>图标。
- 点击视图runbook.
- 应该出现一个包含文本的弹出框xss.
bob彩票中奖计划解决办法和缓解措施
从Grafana v8.0到v9.0.1的所有安装都应该尽快升级。可以通过关闭Grafana警报来缓解。
时间轴
以下是从我们最初得知这个问题开始的详细时间表。所有时间都是UTC时间。
- 2022-06-19 10:32 -漏洞报告的研究提交
- 2022-06-20 14:35-问题分类,确认为阳性,内部事件提出
- 2022-06-20 18:40 -修复PR提交和审核
- 2022-06-23 07:12 -所有Grafana云托管的Grafana实例补丁
- 2022-07-05 07:14 -客户被告知禁运
- 2022-07-14 02:00 -公开发布
接管OAuth帐户(cve - 2022 - 31107)
CVE-2022-31107摘要
HTTPVoid团队联系了Grafana Labs,公开bob电竞频道了一个OAuth帐户接管漏洞。我们认为此漏洞的评级为CVSS 7.1 (CVSS:7.1:AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:L)
影响版本
Grafana 5.3 - Grafana 9.0.1
如何繁殖
确保启用了OAuth登录。
- 在OAuth provider中创建一个攻击者用户,其电子邮件地址与目标帐户不同,但用户名相同(或目标帐户的电子邮件为用户名)。
- 使用攻击者用户帐户使用OAuth登录。
- 你现在应该已经拥有了格拉夫纳的目标账户。
bob彩票中奖计划解决办法和缓解措施
所有在Grafana v5.3到v9.0.1之间的安装都应该尽快升级。可以通过禁用OAuth登录来缓解。
时间轴和事后分析
以下是从我们最初得知这个问题开始的详细时间表。所有时间都是UTC时间。
- 2022-06-27 19:00 -漏洞报告研究提交
- 2022-06-27 20:53 -问题分类,确认为阳性,内部事件提出
- 2022-06-28 08:42 -修复PR提交和审核
- 2022-06-28 20:58 -所有Grafana云托管的Grafana实例修复
- 2022-07-05 07:14 -客户被告知禁运
- 2022-07-14 02:00 -公开发布
报告安全问题
如果您认为发现了安全漏洞,请将报告发送至security@www.tubolov.com.此地址可用于Grafana Labs的所有开源和商业产品(包括但不限于Gbob电竞频道rafana、Grafana Cloud、Grafana Enterbob手机app官网prise和www.tubolov.com)。我们只能接受这个地址的漏洞报告。
请使用我们的PGP密钥加密您的信息给我们。密钥指纹为:
F988 7bea 027a 049f ae8e 5caa d125 8932 be24 c5ca
关键是可从keyserver.ubuntu tu.com获得.
bob电竞频道Grafana实验室将给您发送回复,说明处理您报告的下一步步骤。在对您的报告进行初步回复后,安全团队将向您通报修复和完整公告的进展。我们将保持联系,并可能要求额外的信息或指导。
重要提示:我们要求您在修复和宣布漏洞之前不要披露漏洞。如果您向任何第三方举报,我们要求您立即通知我们。如果您愿意,我们将与您协调公开发布日期。如果你需要的话,适当的信用和确认将给你。
我们尊重你的工作,我们承诺遵循负责任的披露,即。协调漏洞披露.我们通常在几天或几周内解决问题,远远低于90天的行业标准。
安全公告
我们维持一个我们博客上的安全类别,我们将始终发布包含安全补丁的任何补丁的摘要、补救和缓解细节。
你也可以订阅我们的RSS提要.