行业新闻与博客

Grafana 已迅速采取行动来解决访问控制 漏洞，该漏洞对开源分析和数据可视化工具的用户构成了严重威胁。

该漏洞由安全研究员贾斯汀·加德纳（Justin Gardner）发现，并跟踪为 CVE-2020-13379，涉及该技术的“头像”功能。

在咨询，Grafana 指出：“该漏洞允许任何未经认证的用户 / 客户端，使 Grafana 发送 HTTP 请求的任何 URL，并将其结果返回给用户 / 客户端。这可用于获取有关 Grafana 正在运行的网络的信息。”

Grafana 版本 3.0.1 到 7.0.1 容易受到攻击。敦促用户酌情升级到 Grafana 6.7.4 或 7.0.2。

推荐 Kubernetes 安全漏洞还可以从 Microsoft 获得赏金

Grafana 安全公告的细节很少，但是 Gardner 能够为 The Daily Swig 提供更多的技术见解。

Gardner 告诉 The Daily Swig：“此漏洞的影响在于，它使攻击者可以进入 Grafana 实例的内部网络。”

“这允许访问本地主机，内部网络，最重要的是与各种云提供商关联的元数据实例。

他补充说：“使用此漏洞，我能够提取 AWS 凭证，从而使我能够使用各种漏洞赏金计划访问更多的 1 万台服务器。”

审计追踪

Gardner 在审核 Grafana GtHub 存储库中可用的源代码后发现了此漏洞。

他解释说：“审核源代码时，我查看了所有不需要身份验证的路由。” “从那里，我找到了 / avatar / 路由，并指出它接受了用户输入并将其输入到 HTTP 请求中。

“研究人员在 Grafana 中打开了调试日志记录，并尝试将打开的重定向链接在一起，直到我能够控制请求的结果为止。”

及时分类

Gardner 于 5月14日首先将该漏洞通知了 Grafana。供应商在一天之内确认了该漏洞，并在两周内开发了一个补丁。

他说：“我在 24 小时内收到了对该报告的回复，并确信该团队从一开始就在开发补丁程序。”

Gardner 告诉 The Daily Swig，他希望在下个月左右的时间里发布该漏洞的书面记录和概念验证漏洞。

本文由机器译制