Grafana brengt patch uit voor zeroday die misbruik maakt van directory-traversal
datum: 08-12-2021Categorie: SoftwareBron: Tweakers
Visualisatiedienst Grafana heeft een patch uitgebracht voor een zero-day waarmee aanvallers toegang kregen tot lokale bestanden. Proofs-of-concept circuleren onder meer op GitHub.
Het beveiligingslek zit alleen in nieuwere versies van Grafana. Alle versies van de software tussen v8.0.0-beta1 tot en met v8.3.0 zijn kwetsbaar, maar oudere versies niet. Grafana heeft verschillende patches uitgebracht . De kwetsbaarheid wordt verholpen in de versies 8.3.1, 8.2.7, 8.1.8 en 8.0.7.
Het is een bug in de Grafana-software en niet in Grafana Cloud, zeggen de ontwikkelaars. De kwetsbaarheid staat bekend als CVE-2021-43798 . Dit is een directory-traversal- bug die specifiek is voor de locatie waar Grafana standaard plug-ins installeert. Vanuit /public/plugins/
zou het mogelijk zijn om in andere mappen op een systeem te komen. Het kan ook mappen bevatten zoals /etc/passwd/. De kwetsbaarheid krijgt daarom een score van 7,5 en een Hoge classificatie.
Grafana schrijft dat het op 3 december door een beveiligingsonderzoeker op de hoogte werd gesteld van de kwetsbaarheid. Op 7 december bracht het bedrijf een patch uit nadat bleek dat de kwetsbaarheid online was verschenen.Onder andere GitHub bevat niet alleen details over de bug, maar ook proof-of-concept die laat zien hoe deze kan worden uitgebuit.
Nieuws overzicht