Grafana v9.0.3、v8.5.9、v8.4.10和v8.3.10发布了高严重性的安全补丁

今天我们发布了Grafana 9.0.3、8.5.9、8.4.10和8.3.10。此补丁发布包括针对两个影响Grafana v8.0至v9.0.1 (CVE-2022-31097)和Grafana v.5.3至v9.0.1 (CVE-2022-31107)的漏洞的高严重性安全修复。

v9.0.3版本，最新补丁，也包含安全修复:

• 下载Grafana 9.0.3
• 发布说明

v8.5.9版本，只包含安全修复:

• 下载Grafana 8.5.9
• 发布说明

v8.4.10版本，仅包含安全修复:

• 下载Grafana 8.4.10
• 发布说明

v8.3.10版本，仅包含安全修复:

• 下载Grafana 8.3.10

已使用相应的补丁Grafana云一如既往，我们与所有授权提供Grafana Pro的云提供商密切协调。他们已收到禁运下的早期通知，并确认在此宣布时他们的产品是安全的。这适用于Amazon Managed Grafana。

确认

我们要感谢Maxim Misharin (Stored XSS)和HTTPVoid团队(OAuth账户接管)负责任地披露这些漏洞。

存储XSS (cve - 2022 - 31097）

CVE-2022-31097摘要

外部安全研究员Maxim Misharin联系了Grafana Labs，公开了Grafana Alerting(在Gbob电竞频道rafana 8.0中引入时称为统一警报)中存储的XSS漏洞。我们认为此漏洞的评级为CVSS 7.3 (CVSS:7.3/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:N)。

影响版本

要受到影响，必须启用Grafana警报。(注:Grafana alert在Grafana 9.0中默认激活。)

如何繁殖

确保激活Grafana警报(以前称为统一警报)。

1. 使用用户具有编辑器权限的帐户，单击报警然后预警规则．
2. 控件创建一个新的警报规则新的警报规则按钮。
3. 第1节，转到设置查询和告警条件．
   • 在步骤A中，选择任何现有数据源。
4. 3 .转到为您的警告添加详细信息
   • 提供规则名、文件夹和组名。
   • 用以下内容填写Runbook URL:javascript:警报(xss)．
   • 保存新的警报规则。
5. 在单击时检查是否出现新的警报规则报警>预警规则>然后转到您为警报规则创建的文件夹名称。
6. 控件展开规则详细信息>图标。
7. 点击视图runbook．
8. 应该出现一个包含文本的弹出框xss．

bob彩票中奖计划解决办法和缓解措施

从Grafana v8.0到v9.0.1的所有安装都应该尽快升级。可以通过关闭Grafana警报来缓解。

时间轴

以下是从我们最初得知这个问题开始的详细时间表。所有时间都是UTC时间。

• 2022-06-19 10:32 -漏洞报告的研究提交
• 2022-06-20 14:35-问题分类，确认为阳性，内部事件提出
• 2022-06-20 18:40 -修复PR提交和审核
• 2022-06-23 07:12 -所有Grafana云托管的Grafana实例补丁
• 2022-07-05 07:14 -客户被告知禁运
• 2022-07-14 02:00 -公开发布

接管OAuth帐户(cve - 2022 - 31107）

CVE-2022-31107摘要

HTTPVoid团队联系了Grafana Labs，公开bob电竞频道了一个OAuth帐户接管漏洞。我们认为此漏洞的评级为CVSS 7.1 (CVSS:7.1:AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:L)

影响版本

Grafana 5.3 - Grafana 9.0.1

如何繁殖

确保启用了OAuth登录。

1. 在OAuth provider中创建一个攻击者用户，其电子邮件地址与目标帐户不同，但用户名相同(或目标帐户的电子邮件为用户名)。
2. 使用攻击者用户帐户使用OAuth登录。
3. 你现在应该已经拥有了格拉夫纳的目标账户。

bob彩票中奖计划解决办法和缓解措施

所有在Grafana v5.3到v9.0.1之间的安装都应该尽快升级。可以通过禁用OAuth登录来缓解。

时间轴和事后分析

以下是从我们最初得知这个问题开始的详细时间表。所有时间都是UTC时间。

• 2022-06-27 19:00 -漏洞报告研究提交
• 2022-06-27 20:53 -问题分类，确认为阳性，内部事件提出
• 2022-06-28 08:42 -修复PR提交和审核
• 2022-06-28 20:58 -所有Grafana云托管的Grafana实例修复
• 2022-07-05 07:14 -客户被告知禁运
• 2022-07-14 02:00 -公开发布

报告安全问题

如果您认为发现了安全漏洞，请将报告发送至security@www.tubolov.com．此地址可用于Grafana Labs的所有开源和商业产品(包括但不限于Gbob电竞频道rafana、Grafana Cloud、Grafana Enterbob手机app官网prise和www.tubolov.com)。我们只能接受这个地址的漏洞报告。

请使用我们的PGP密钥加密您的信息给我们。密钥指纹为:

F988 7bea 027a 049f ae8e 5caa d125 8932 be24 c5ca

关键是可从keyserver.ubuntu tu.com获得．

bob电竞频道Grafana实验室将给您发送回复，说明处理您报告的下一步步骤。在对您的报告进行初步回复后，安全团队将向您通报修复和完整公告的进展。我们将保持联系，并可能要求额外的信息或指导。

重要提示:我们要求您在修复和宣布漏洞之前不要披露漏洞。如果您向任何第三方举报，我们要求您立即通知我们。如果您愿意，我们将与您协调公开发布日期。如果你需要的话，适当的信用和确认将给你。

我们尊重你的工作，我们承诺遵循负责任的披露，即。协调漏洞披露．我们通常在几天或几周内解决问题，远远低于90天的行业标准。

安全公告

我们维持一个我们博客上的安全类别，我们将始终发布包含安全补丁的任何补丁的摘要、补救和缓解细节。

你也可以订阅我们的RSS提要．