Sicherheitslücke in Grafana

- 21. Oktober 2024

Mit einem Security-Release stopfen die Macher von Grafana eine kritische Sicherheitslücke. Über die war es möglich, Befehle auszuführen und auf Dateien zuzugreifen.

Das Patch-Releases gilt für Grafana 11.0.x, 11.1.x und 11.2.x. Andere Versionen wie Grafana 10.x sind von der Sicherheitslücke (CVE-2024-9264 ) nicht betroffen. Grafana kann als plattformübergreifende Open-Source-Anwendung Daten aus verschiedenen Quellen grafisch darstellen. MySQL, PostgreSQL und Prometheus zählen zu den Datenquellen.

Die Schwachstelle kann laut Mitteilung der Grafana-Entwickler dazu genutzt werden, um auf jede Datei auf dem Host-Rechner zuzugreifen, einschließlich aller unverschlüsselten Passwörter in diesen Dateien. Jeder Grafana-Benutzer, der über Viewer-Berechtigungen oder höher verfügt, ist in der Lage, diesen Angriff auszuführen.

Die Entwickler empfehlen dringend, so bald wie möglich auf eine der gepatchten Versionen von Grafana zu aktualisieren. Sollte dies einem Admin nicht sofort möglich sein, kann er die duckdb-Binärdatei aus dem PATH entfernen oder sie ganz aus dem System entfernen. Dieses Binary werde von keinem anderen Grafana-Feature benötigt.

Die RCE-Schwachstelle (Remote Code Execution) sei mit Grafana 11 eingeführt worden. Sie habe sich in einer experimentellen Funktion namens SQL Expressions befunden, mit der die Ausgabe von Datenquellenabfragen durch die Ausführung einer oder mehrerer SQL-Abfragen nachbearbeitet werden könne. Dazu werden die Abfrage und die Daten an die DuckDB CLI übergeben, die die SQL-Abfrage gegen die DataFrame-Daten ausführt. Diese SQL-Abfragen wurden nicht vollständig bereinigt, was zu einer Schwachstelle durch Befehlsinjektion und lokale Dateieinbindung führte.

Aufgrund einer fehlerhaften Implementierung von Funktionsflags sei diese experimentelle Funktion standardmäßig für die API aktiviert. Um ausgenutzt werden zu können, muss das DuckDB-Binary jedoch über den PATH der Grafana-Prozessumgebung zugänglich sein. Die DuckDB-Binärdatei werde auch nicht standardmäßig mit Grafana ausgeliefert. Um ausnutzbar zu sein, muss DuckDB auf dem System installiert und im PATH von Grafana enthalten sein. Ist DuckDB nicht vorhanden ist, ist das System nicht angreifbar, heißt es weiter.

Linux Foundation gründet Initiative zur Schwachstellensuche in Open-Source-Software

Die Linux Foundation hat zusammen mit Industriepartnern wie Amazon Web Services, Anthropic, Cisco, Ericsson, Google, IBM, JPMorganChase, Microsoft, GitHub, NVIDIA, OpenAI, Red Hat oder der Rust Foundation die Initiative Akrites gegründet, die Open-Source-Software vor der Bedrohung durch...

Bundestag beschließt Recht auf Reparatur

Das Recht auf Reparatur soll für weniger Elektroschrott sorgen. Ein neuer Paragraf im BGB setzt es in deutsches Recht um.

Preview für GPT-5.6-Modelle startet für handverlesene Kunden

OpenAI startet eine Preview-Phase für seine Modelle ChatGPT-5.6 Sol, Terra und Luna auf Weisung der US-Regierung für speziell ausgesuchte, besonders vertrauenswürdige Kunden.

US-Regierung gibt auch das aktuellste ChatGPT nur für ausgewählte Kunden frei

Nach dem Exportverbot für Anthropics Spitzenmodelle Mythos 5 und Fable 5 weist die US-Regierung nun auch den Konkurrenten OpenAI an, sein neuestes Modell ChatGPT-5.6 vorerst nur handverlesenen Kunden zugänglich zu machen.

Suse und Openchip planen europäischen Technologie-Stack mit RISC-V

Der Linux-Anbieter Suse und das spanische Unternehmen Openchip & Software Technologies haben eine Absichtserklärung zur Entwicklung eines europäischen Technologie-Stacks unterzeichnet.

IBM-Forscher wollen Miniaturisierungstrend bei Chips noch zehn Jahre fortsetzen

Manche Wissenschaftler glaubten nicht mehr daran, dass sich der Trend zu immer weiterer Verkleinerung der Bauelemente auf Computerchips noch länger aufrechterhalten ließe. Nun aber stellten Forscher von IBM, das zwar selbst keine Chips mehr herstellt, aber weiter an der Technologie forscht,...

E-Mail Benachrichtigung

0 Kommentare

Älteste

Neuste Beste Bewertung