Grafana: Update schließt hochriskante Schwachstelle im Datenvisualisierungs-Tool
Grafana hat Updates für zahlreiche Versionszweige veröffentlicht. Sie schließen unter anderem eine Denial-of-Service-Lücke, die als hochriskant gilt.
(Bild: Timofeev Vladimir/Shutterstock.com)
Das Datenvisualisierungswerkzeug Grafana steht in neuer Version für diverse Versionszweige bereit. Sie enthalten alle eine Korrektur, die eine als hochriskant eingestufte Sicherheitslücke schließen. Die Cloud-Versionen von Grafana sind bereits auf dem aktuellen Stand, IT-Verantwortliche mit On-Premise-Installationen sollten die bereitstehenden Aktualisierungen zügig anwenden.
Grafana: Sicherheitslücke mit hohem Risiko
Alle neuen Versionen schließen eine Sicherheitslücke, die die Drittherstellerkomponente crewjam/saml betrifft. Grafana nutzt die Security Assertion Markup Language-Bibliothek (SAML) zum Austausch von Informationen zur Authentifizierung. Die Funktion flate.NewReader begrenzt die Länge von Eingaben nicht. Angreifer könnten mehr als ein Megabyte an Daten in einer HTTP-Anfrage an die Funktion schicken, die serverseitig mit dem Deflate-Algorithmus entpackt werden. Durch das Senden mehrer Anfragen lässt sich verlässlich ein Absturz provozieren, da das Betriebssystem den Prozess beendet (CVE-2023-28119, CVSS 7.5, Risiko "hoch").
Bei der Einrichtung von Grafana lässt sich die Option aktivieren, JSON Web Token-Authentifizierung (JWT) zu nutzen. Dadurch können Nutzer sich mit speziellen Headern authentifizieren. Grafana unterstützt auch ein URL-Login, bei dem das Token als Query-Parameter übertragen wird. Dadurch wird es der Datenquelle als Header übertragen, wodurch sensible Informationen an unbefugte Dritte gelangen könnten (CVE-2023-1387, CVSS 4.2, mittel).
Die hochriskante Lücke betrifft Grafana Enterprise ab Version 7.3.0-beta1, das potenzielle Informationsleck Grafana ab Version 9.1.0. Die aktualisierten Versionen Grafana 9.5.1, 9.5.0, 9.4.9, 9.3.13 und 9.2.17 dichten die Schwachstellen ab. 8.5.24 schließt lediglich die hochriskanten Lücke, das Datenleck ist im 8er-Zweig nicht vorhanden.
In der Sicherheitsmeldung von Grafana sind die Downloads der aktualisierten Versionen verlinkt. Administratoren sollten sie zur Minimierung der Angriffsfläche zeitnah herunterladen und installieren.
Zuletzt hatte das Grafana-Projekt im März die Version 9.4 veröffentlicht. Darin haben die Entwickler unter anderem das Panel_Design erneuert, die Suche und Navigation aktualisiert sowie neue Authentifizierungsfeatures einziehen lassen.
(dmk)
