Die Entwickler von Grafana haben mit neuen Versionen eine kürzlich entdeckte Sicherheitslücke geschlossen. Bei der Software handelt es sich um eine populäre Lösung zur Datenvisualisierung und für Monitoring. Durch eine sogenannte Directory-Traversal-Lücke darin hätten Angreifer auf lokale Dateien zugreifen können (CVE-2021-43798, Risikoeinstufung hoch).
Das Grafana-Projekt nennt den verwundbaren Pfad <grafana_host_url>/public/plugins/<“plugin-id”> und daraus abgeleitete Beispiele. Die plugin-id kann etwa "mysql", "logs" oder ähnlich lauten, entsprechend der Namen der installierten Plug-ins. Auf derartige Verzeichnisse ließ sich durch die Lücke zugreifen.
Betroffen sind die Grafana-Versionen 8.0.0 Beta 1 bis einschließlich 8.3.0. Die Schwachstellen werden von Grafana 8.3.1, 8.2.7, 8.1.8 und 8.0.7 geschlossen. Nutzer der Software sollten sie unbedingt zeitnah auf den neuen Stand bringen, empfehlen die Entwickler. Auf
Quelle: heise
Das Grafana-Projekt nennt den verwundbaren Pfad <grafana_host_url>/public/plugins/<“plugin-id”> und daraus abgeleitete Beispiele. Die plugin-id kann etwa "mysql", "logs" oder ähnlich lauten, entsprechend der Namen der installierten Plug-ins. Auf derartige Verzeichnisse ließ sich durch die Lücke zugreifen.
Betroffen sind die Grafana-Versionen 8.0.0 Beta 1 bis einschließlich 8.3.0. Die Schwachstellen werden von Grafana 8.3.1, 8.2.7, 8.1.8 und 8.0.7 geschlossen. Nutzer der Software sollten sie unbedingt zeitnah auf den neuen Stand bringen, empfehlen die Entwickler. Auf
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
die aktuellen Downloads auf und erläutert die Schwachstelle knapp.Quelle: heise