๊ฐ๋ฐฉํ ๋ฐ์ดํฐ ์๊ฐํ ํ๋ซํผ Grafana์์ ์ทจ์ฝ์ (CVE-2021-43798)์ด ๋ฐ๊ฒฌ๋์์ต๋๋ค. ์ด๋ฅผ ํตํด ๊ธฐ๋ณธ ๋๋ ํฐ๋ฆฌ๋ฅผ ๋ฒ์ด๋ ์๋ฒ์ ๋ก์ปฌ ํ์ผ ์์คํ ์ ์๋ ์์ ํ์ผ์ ๋ํ ์ก์ธ์ค ๊ถํ์ ์ป์ ์ ์์ต๋๋ค. Grafana๊ฐ ์คํ๋๋ ์ฌ์ฉ์์ ํ์ฉ์ ๋๋ค. ํด๋น ๋ฌธ์ ๋ ๊ฒฝ๋ก ํธ๋ค๋ฌ "/public/plugins/"์ ์๋ชป๋ ์๋์ผ๋ก ์ธํด ๋ฐ์ํฉ๋๋ค. /", ๊ธฐ๋ณธ ๋๋ ํฐ๋ฆฌ์ ์ก์ธ์คํ๊ธฐ ์ํด ".." ๋ฌธ์๋ฅผ ์ฌ์ฉํ ์ ์์ต๋๋ค.
โ/public/plugins/graph/โ, โ/public/plugins/mysql/โ, โ/public/plugins/prometheus/โ(์ฝ 40๊ฐ ์ ๋) ๋ฑ ์ฌ์ ์ค์น๋ ์ผ๋ฐ์ ์ธ ํ๋ฌ๊ทธ์ธ์ URL์ ์ ๊ทผํ์ฌ ์ทจ์ฝ์ ์ ์ ์ฉํ ์ ์์ต๋๋ค. ํ๋ฌ๊ทธ์ธ์ ์ด ์ฌ์ ์ค์น๋์ด ์์ต๋๋ค). ์๋ฅผ ๋ค์ด /etc/passwd ํ์ผ์ ์ก์ธ์คํ๋ ค๋ฉด "/public/plugins/prometheus/../../../../../../../../etc" ์์ฒญ์ ๋ณด๋ผ ์ ์์ต๋๋ค. /๋น๋ฐ๋ฒํธ" . ์ ์ฉ ํ์ ์ ํ์ธํ๋ ค๋ฉด http ์๋ฒ ๋ก๊ทธ์ "..%2f" ๋ง์คํฌ๊ฐ ์๋์ง ํ์ธํ๋ ๊ฒ์ด ์ข์ต๋๋ค.
์ด ๋ฌธ์ ๋ ๋ฒ์ 8.0.0-beta1๋ถํฐ ๋ํ๋ Grafana 8.3.1, 8.2.7, 8.1.8 ๋ฐ 8.0.7 ๋ฆด๋ฆฌ์ค์์ ์์ ๋์์ง๋ง ์ ์ฌํ ์ทจ์ฝ์ 2021๊ฐ๊ฐ ๋ ๋ฐ๊ฒฌ๋์์ต๋๋ค(CVE-43813-2021, CVE-43815-5.0.0) Grafana 8.0.0 ๋ฐ Grafana 3-beta8.3.2๋ถํฐ ๋ฑ์ฅํ์ผ๋ฉฐ ์ธ์ฆ๋ Grafana ์ฌ์ฉ์๊ฐ ํ์ฅ์๊ฐ ".md" ๋ฐ ".csv"์ธ ์์คํ
์ ์์ ํ์ผ(ํ์ผ ํฌํจ)์ ์ก์ธ์คํ ์ ์๋๋ก ํ์ฉํ์ต๋๋ค. ์ด๋ฆ์ ์๋ฌธ์๋ก๋ง ๋๋ ๋๋ฌธ์๋ก๋ง), "/api/plugins/.*/markdown/.*" ๋ฐ "/api/ds/query" ๊ฒฝ๋ก์์ ".." ๋ฌธ์๋ฅผ ์กฐ์ํ์ฌ ์์ฑ๋ฉ๋๋ค. ์ด๋ฌํ ์ทจ์ฝ์ ์ ์ ๊ฑฐํ๊ธฐ ์ํด Grafana 7.5.12 ๋ฐ XNUMX ์
๋ฐ์ดํธ๊ฐ ์์ฑ๋์์ต๋๋ค.
์ถ์ฒ : opennet.ru