āĻāĻĒā§āĻ¨ āĻĄā§āĻāĻž āĻāĻŋāĻā§āĻ¯ā§āĻ¯āĻŧāĻžāĻ˛āĻžāĻāĻā§āĻļāĻ¨ āĻĒā§āĻ˛ā§āĻ¯āĻžāĻāĻĢāĻ°ā§āĻŽ Grafana-āĻ āĻāĻāĻāĻŋ āĻĻā§āĻ°ā§āĻŦāĻ˛āĻ¤āĻž (CVE-2021-43798) āĻāĻŋāĻšā§āĻ¨āĻŋāĻ¤ āĻāĻ°āĻž āĻšāĻ¯āĻŧā§āĻā§, āĻ¯āĻž āĻāĻĒāĻ¨āĻžāĻā§ āĻŦā§āĻ¸ āĻĄāĻŋāĻ°ā§āĻā§āĻāĻ°āĻŋāĻ° āĻŦāĻžāĻāĻ°ā§ āĻĒāĻžāĻ˛āĻžāĻ¤ā§ āĻāĻŦāĻ āĻ¸āĻžāĻ°ā§āĻāĻžāĻ°ā§āĻ° āĻ¸ā§āĻĨāĻžāĻ¨ā§āĻ¯āĻŧ āĻĢāĻžāĻāĻ˛ āĻ¸āĻŋāĻ¸ā§āĻā§āĻŽā§ āĻ¨āĻŋāĻ°ā§āĻŦāĻŋāĻāĻžāĻ°ā§ āĻĢāĻžāĻāĻ˛āĻā§āĻ˛āĻŋāĻ¤ā§ āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻĒā§āĻ¤ā§ āĻĻā§āĻ¯āĻŧ, āĻ¯āĻ¤āĻĻā§āĻ° āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ā§āĻ° āĻ āĻ§āĻŋāĻāĻžāĻ° āĻ°āĻ¯āĻŧā§āĻā§āĨ¤ āĻ¯ā§ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§āĻ° āĻ āĻ§ā§āĻ¨ā§ Grafana āĻāĻ˛āĻā§ āĻ¤āĻžāĻ° āĻ āĻ¨ā§āĻŽāĻ¤āĻŋ āĻĻā§āĻ¯āĻŧāĨ¤ āĻ¸āĻŽāĻ¸ā§āĻ¯āĻžāĻāĻŋ āĻĒāĻĨ āĻšā§āĻ¯āĻžāĻ¨ā§āĻĄāĻ˛āĻžāĻ°ā§āĻ° āĻā§āĻ˛ āĻ āĻĒāĻžāĻ°ā§āĻļāĻ¨ā§āĻ° āĻāĻžāĻ°āĻŖā§ āĻšāĻ¯āĻŧā§āĻā§ â/public/plugins/ /", āĻ¯āĻž āĻ āĻ¨ā§āĻ¤āĻ°ā§āĻ¨āĻŋāĻšāĻŋāĻ¤ āĻĄāĻŋāĻ°ā§āĻā§āĻāĻ°āĻŋ āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻāĻ°āĻ¤ā§ ".." āĻ āĻā§āĻˇāĻ° āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°ā§āĻ° āĻ āĻ¨ā§āĻŽāĻ¤āĻŋ āĻĻā§āĻ¯āĻŧāĨ¤
"/public/plugins/graph/", "/public/plugins/mysql/" āĻāĻŦāĻ "/public/plugins/prometheus/" (āĻĒā§āĻ°āĻžāĻ¯āĻŧ 40āĻāĻŋ āĻĒā§āĻ˛āĻžāĻāĻāĻ¨āĻā§āĻ˛āĻŋ āĻŽā§āĻ āĻĒā§āĻ°ā§āĻŦā§ āĻāĻ¨āĻ¸ā§āĻāĻ˛ āĻāĻ°āĻž āĻāĻā§)āĨ¤ āĻāĻĻāĻžāĻšāĻ°āĻŖāĻ¸ā§āĻŦāĻ°ā§āĻĒ, /etc/passwd āĻĢāĻžāĻāĻ˛āĻāĻŋ āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻāĻ°āĻ¤ā§, āĻāĻĒāĻ¨āĻŋ āĻ āĻ¨ā§āĻ°ā§āĻ§ āĻĒāĻžāĻ āĻžāĻ¤ā§ āĻĒāĻžāĻ°ā§āĻ¨ "/public/plugins/prometheus/../../../../../../../../etc /passwd"āĨ¤ āĻļā§āĻˇāĻŖā§āĻ° āĻāĻŋāĻšā§āĻ¨ āĻ¸āĻ¨āĻžāĻā§āĻ¤ āĻāĻ°āĻ¤ā§, HTTP āĻ¸āĻžāĻ°ā§āĻāĻžāĻ° āĻ˛āĻāĻā§āĻ˛āĻŋāĻ¤ā§ "..%2f" āĻŽāĻžāĻ¸ā§āĻā§āĻ° āĻāĻĒāĻ¸ā§āĻĨāĻŋāĻ¤āĻŋ āĻĒāĻ°ā§āĻā§āĻˇāĻž āĻāĻ°āĻžāĻ° āĻĒāĻ°āĻžāĻŽāĻ°ā§āĻļ āĻĻā§āĻāĻ¯āĻŧāĻž āĻšāĻ¯āĻŧā§ˇ
āĻ¸āĻŽāĻ¸ā§āĻ¯āĻžāĻāĻŋ 8.0.0-beta1 āĻ¸āĻāĻ¸ā§āĻāĻ°āĻŖ āĻĨā§āĻā§ āĻļā§āĻ°ā§ āĻšāĻ¯āĻŧā§āĻāĻŋāĻ˛ āĻāĻŦāĻ Grafana 8.3.1, 8.2.7, 8.1.8 āĻāĻŦāĻ 8.0.7 āĻāĻ° āĻ°āĻŋāĻ˛āĻŋāĻā§ āĻ¸āĻāĻļā§āĻ§āĻ¨ āĻāĻ°āĻž āĻšāĻ¯āĻŧā§āĻāĻŋāĻ˛, āĻāĻŋāĻ¨ā§āĻ¤ā§ āĻ¤āĻžāĻ°āĻĒāĻ°ā§ āĻāĻ°āĻ āĻĻā§āĻāĻŋ āĻ
āĻ¨ā§āĻ°ā§āĻĒ āĻĻā§āĻ°ā§āĻŦāĻ˛āĻ¤āĻž āĻāĻŋāĻšā§āĻ¨āĻŋāĻ¤ āĻāĻ°āĻž āĻšāĻ¯āĻŧā§āĻāĻŋāĻ˛ (CVE-2021-43813, CVE-2021- 43815) āĻ¯āĻž Grafana 5.0.0 āĻāĻŦāĻ Grafana 8.0.0-beta3 āĻĨā§āĻā§ āĻļā§āĻ°ā§ āĻšāĻ¯āĻŧā§āĻāĻŋāĻ˛ āĻāĻŦāĻ āĻāĻāĻāĻ¨ āĻĒā§āĻ°āĻŽāĻžāĻŖā§āĻā§āĻ¤ Grafana āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§āĻā§ ".md" āĻāĻŦāĻ ".csv" (āĻĢāĻžāĻāĻ˛ āĻ¸āĻš) āĻāĻā§āĻ¸āĻā§āĻ¨āĻļāĻ¨ āĻ¸āĻš āĻ¸āĻŋāĻ¸ā§āĻā§āĻŽā§ āĻ¨āĻŋāĻ°ā§āĻŦāĻŋāĻāĻžāĻ°ā§ āĻĢāĻžāĻāĻ˛ āĻ
ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻāĻ°āĻžāĻ° āĻ
āĻ¨ā§āĻŽāĻ¤āĻŋ āĻĻā§āĻ¯āĻŧ "/api/plugins/.*/markdown/.*" āĻāĻŦāĻ "/api/ds/query" āĻĒāĻžāĻĨā§āĻ° ".." āĻ
āĻā§āĻˇāĻ°āĻā§āĻ˛āĻŋāĻ° āĻšā§āĻ°āĻĢā§āĻ° āĻŽāĻžāĻ§ā§āĻ¯āĻŽā§ āĻļā§āĻ§ā§āĻŽāĻžāĻ¤ā§āĻ° āĻā§āĻ āĻŦāĻž āĻļā§āĻ§ā§āĻŽāĻžāĻ¤ā§āĻ° āĻŦāĻĄāĻŧ āĻšāĻžāĻ¤ā§āĻ° āĻ¨āĻžāĻŽāĨ¤ āĻāĻ āĻĻā§āĻ°ā§āĻŦāĻ˛āĻ¤āĻžāĻā§āĻ˛āĻŋ āĻĻā§āĻ° āĻāĻ°āĻžāĻ° āĻāĻ¨ā§āĻ¯, Grafana 8.3.2 āĻāĻŦāĻ 7.5.12 āĻāĻĒāĻĄā§āĻāĻā§āĻ˛āĻŋ āĻ¤ā§āĻ°āĻŋ āĻāĻ°āĻž āĻšāĻ¯āĻŧā§āĻāĻŋāĻ˛āĨ¤
āĻāĻ¤ā§āĻ¸: opennet.ru