Ga naar inhoud

Kwetsbaarheid in analyticsplatform Grafana maakt path traversal mogelijk


Aanbevolen berichten

Een kwetsbaarheid in het opensource-analyticsplatform Grafana maakt het voor aanvallers mogelijk om toegang tot lokale bestanden te krijgen en exploits zijn inmiddels online verschenen. Ontwikkelaar Grafana Labs heeft updates beschikbaar gemaakt om het beveiligingslek te verhelpen.

Via Grafana is het mogelijk om data van allerlei bronnen, zoals clouddiensten, Kubernetes-clusters, Google Sheets en Raspberry Pi's, te verwerken en via één dashboard te visualiseren. Grafana Labs heeft naar eigen zeggen meer dan vijftienhonderd klanten waaronder Bloomberg, JP Morgan Chase, eBay, PayPal en Sony. Grafana zou meer dan 800.000 actieve installaties wereldwijd tellen.

De software bevat een kwetsbaarheid (CVE-2021-43798) die path traversal mogelijk maakt. Via een speciaal geprepareerde url is het mogelijk om toegang tot lokale bestanden te krijgen. Grafana Labs werd op 3 december door een beveiligingsonderzoeker op het beveiligingslek gewezen. Dezelfde dag werd een update ontwikkeld, die op 14 december beschikbaar zou worden.

Op 6 december ontving Grafana Labs een tweede melding over de kwetsbaarheid. Een dag later bleek dat informatie over het lek openbaar was geworden. Daarop werd besloten om de update gisteren, een week voor de geplande release, uit te brengen. Beheerders van installaties met Grafana versie 8.0.0-beta1 tot en met 8.3.0 wordt aangeraden om te updaten naar versie 8.3.1, 8.2.7, 8.1.8 of 8.0.7. De impact van het lek is op een schaal van 1 tot en met 10 met een 7.5 beoordeeld.

 

bron: https://www.security.nl

Link naar reactie
Delen op andere sites

×
×
  • Nieuwe aanmaken...

Belangrijke informatie

We hebben cookies geplaatst op je toestel om deze website voor jou beter te kunnen maken. Je kunt de cookie instellingen aanpassen, anders gaan we er van uit dat het goed is om verder te gaan.