Die Entwickler von Grafana haben mit neuen Versionen eine kürzlich entdeckte Sicherheitslücke geschlossen. Bei der Software handelt es sich um eine populäre Lösung zur Datenvisualisierung und für Monitoring. Durch eine sogenannte Directory-Traversal-Lücke darin hätten Angreifer auf lokale Dateien zugreifen können (CVE-2021-43798, Risikoeinstufung hoch).
Das Grafana-Projekt nennt den verwundbaren Pfad <grafana_host_url>/public/plugins/<“plugin-id”> und daraus abgeleitete Beispiele. Die plugin-id kann etwa "mysql", "logs" oder ähnlich lauten, entsprechend der Namen der installierten Plug-ins. Auf derartige Verzeichnisse ließ sich durch die Lücke zugreifen.
Betroffen sind die Grafana-Versionen 8.0.0 Beta 1 bis einschließlich 8.3.0. Die Schwachstellen werden von Grafana 8.3.1, 8.2.7, 8.1.8 und 8.0.7 geschlossen. Nutzer der Software sollten sie unbedingt zeitnah auf den neuen Stand bringen, empfehlen die Entwickler. Auf github listet das Grafana-Projekt die aktuellen Downloads auf und erläutert die Schwachstelle knapp.
Quelle: heise
Das Grafana-Projekt nennt den verwundbaren Pfad <grafana_host_url>/public/plugins/<“plugin-id”> und daraus abgeleitete Beispiele. Die plugin-id kann etwa "mysql", "logs" oder ähnlich lauten, entsprechend der Namen der installierten Plug-ins. Auf derartige Verzeichnisse ließ sich durch die Lücke zugreifen.
Betroffen sind die Grafana-Versionen 8.0.0 Beta 1 bis einschließlich 8.3.0. Die Schwachstellen werden von Grafana 8.3.1, 8.2.7, 8.1.8 und 8.0.7 geschlossen. Nutzer der Software sollten sie unbedingt zeitnah auf den neuen Stand bringen, empfehlen die Entwickler. Auf github listet das Grafana-Projekt die aktuellen Downloads auf und erläutert die Schwachstelle knapp.
Quelle: heise
