ProHoster > ะ‘ะปะพะณ > เบ‚เปˆเบฒเบงโ€‹เบญเบดเบ™โ€‹เป€เบ•เบตโ€‹เป€เบ™เบฑเบ”โ€‹ > เบŠเปˆเบญเบ‡เป‚เบซเบงเปˆเปƒเบ™ Grafana เบ—เบตเปˆเบญเบฐเบ™เบธเบเบฒเบ”เปƒเบซเป‰เป€เบ‚เบปเป‰เบฒเป€เบ–เบดเบ‡เป„เบŸเบฅเปŒเปƒเบ™เบฅเบฐเบšเบปเบš

เบŠเปˆเบญเบ‡เป‚เบซเบงเปˆเปƒเบ™ Grafana เบ—เบตเปˆเบญเบฐเบ™เบธเบเบฒเบ”เปƒเบซเป‰เป€เบ‚เบปเป‰เบฒเป€เบ–เบดเบ‡เป„เบŸเบฅเปŒเปƒเบ™เบฅเบฐเบšเบปเบš

เบŠเปˆเบญเบ‡เป‚เบซเบงเปˆ (CVE-2021-43798) เป„เบ”เป‰เบ–เบทเบเบฅเบฐเบšเบธเป„เบงเป‰เปƒเบ™เปเบžเบฅเบฐเบ•เบฐเบŸเบญเบกเบเบฒเบ™เป€เบšเบดเปˆเบ‡เป€เบซเบฑเบ™เบ‚เปเป‰เบกเบนเบ™เป€เบ›เบตเบ” Grafana, เป€เบŠเบดเปˆเบ‡เบŠเปˆเบงเบเปƒเบซเป‰เบ—เปˆเบฒเบ™เบชเบฒเบกเบฒเบ”เบซเบฅเบปเบšเบซเบ™เบตเบญเบญเบเบˆเบฒเบเป„เบ”เป€เบฅเบเบฐเบ—เปเบฅเบตเบžเบทเป‰เบ™เบ–เบฒเบ™เปเบฅเบฐเป€เบ‚เบปเป‰เบฒเป€เบ–เบดเบ‡เป„เบŸเบฅเปŒเบ—เบตเปˆเบกเบฑเบเปƒเบ™เบฅเบฐเบšเบปเบšเป„เบŸเบฅเปŒเบ—เป‰เบญเบ‡เบ–เบดเปˆเบ™เบ‚เบญเบ‡เป€เบ„เบทเปˆเบญเบ‡เปเบกเปˆเบ‚เปˆเบฒเบ, เป€เบ—เบปเปˆเบฒเบ—เบตเปˆเบชเบดเบ”เบเบฒเบ™เป€เบ‚เบปเป‰เบฒเป€เบ–เบดเบ‡. เบ‚เบญเบ‡เบœเบนเป‰เปƒเบŠเป‰เบžเบฒเบเปƒเบ•เป‰เบ—เบตเปˆ Grafana เบเปเบฒเบฅเบฑเบ‡เปเบฅเปˆเบ™เบญเบฐเบ™เบธเบเบฒเบ”เปƒเบซเป‰. เบšเบฑเบ™เบซเบฒเปเบกเปˆเบ™เป€เบเบตเบ”เบกเบฒเบˆเบฒเบเบเบฒเบ™เป€เบฎเบฑเบ”เบงเบฝเบเบ—เบตเปˆเบšเปเปˆเบ–เบทเบเบ•เป‰เบญเบ‡เบ‚เบญเบ‡เบ•เบปเบงเบˆเบฑเบ”เบเบฒเบ™เป€เบชเบฑเป‰เบ™เบ—เบฒเบ‡ โ€œ/public/plugins/ /", เป€เบŠเบดเปˆเบ‡เบญเบฐเบ™เบธเบเบฒเบ”เปƒเบซเป‰เปƒเบŠเป‰ ".." เบ•เบปเบงเบญเบฑเบเบชเบญเบ™เป€เบžเบทเปˆเบญเป€เบ‚เบปเป‰เบฒเป€เบ–เบดเบ‡เป„เบ”เป€เบฅเบเบฐเบ—เปเบฅเบตเบ—เบตเปˆเบ•เบดเบ”เบžเบฑเบ™.

เบŠเปˆเบญเบ‡เป‚เบซเบงเปˆเบชเบฒเบกเบฒเบ”เบ–เบทเบเบ‚เบนเบ”เบฎเบตเบ”เป‚เบ”เบเบเบฒเบ™เป€เบ‚เบปเป‰เบฒเบซเบฒ URL เบ‚เบญเบ‡เบ›เบฅเบฑเบเบญเบดเบ™เบ—เบตเปˆเบ•เบดเบ”เบ•เบฑเป‰เบ‡เป„เบงเป‰เบฅเปˆเบงเบ‡เปœเป‰เบฒเบ—เบปเปˆเบงเป„เบ›เป€เบŠเบฑเปˆเบ™ โ€œ/public/plugins/graph/โ€, โ€œ/public/plugins/mysql/โ€ เปเบฅเบฐ โ€œ/public/plugins/prometheus/โ€ (เบ›เบฐเบกเบฒเบ™ 40 เบญเบฑเบ™. เบ›เบฑเปŠเบเบญเบดเบ™เบ–เบทเบเบ•เบดเบ”เบ•เบฑเป‰เบ‡เป„เบงเป‰เบฅเปˆเบงเบ‡เปœเป‰เบฒเปƒเบ™เบˆเปเบฒเบ™เบงเบ™เบ—เบฑเบ‡เปเบปเบ”). เบ•เบปเบงเบขเปˆเบฒเบ‡, เป€เบžเบทเปˆเบญเป€เบ‚เบปเป‰เบฒเป€เบ–เบดเบ‡เป„เบŸเบฅเปŒ /etc/passwd, เบ—เปˆเบฒเบ™เบชเบฒเบกเบฒเบ”เบชเบปเปˆเบ‡เบ„เปเบฒเบฎเป‰เบญเบ‡เบ‚เป "/public/plugins/prometheus/../../../../../../../../etc. /passwd". เป€เบžเบทเปˆเบญเบเปเบฒเบ™เบปเบ”เบฎเปˆเบญเบ‡เบฎเบญเบเบ‚เบญเบ‡เบเบฒเบ™เบ‚เบนเบ”เบฎเบตเบ”, เปเบ™เบฐเบ™เปเบฒเปƒเบซเป‰เบเบงเบ”เป€เบšเบดเปˆเบ‡เบเบฒเบ™เบ›เบฐเบเบปเบ”เบ•เบปเบงเบ‚เบญเบ‡เบซเบ™เป‰เบฒเบเบฒเบ "..%2f" เปƒเบ™เบšเบฑเบ™เบ—เบถเบเบ‚เบญเบ‡เป€เบ„เบทเปˆเบญเบ‡เปเบกเปˆเบ‚เปˆเบฒเบ http.

เบŠเปˆเบญเบ‡เป‚เบซเบงเปˆเปƒเบ™ Grafana เบ—เบตเปˆเบญเบฐเบ™เบธเบเบฒเบ”เปƒเบซเป‰เป€เบ‚เบปเป‰เบฒเป€เบ–เบดเบ‡เป„เบŸเบฅเปŒเปƒเบ™เบฅเบฐเบšเบปเบš

เบšเบฑเบ™เบซเบฒเบ”เบฑเปˆเบ‡เบเปˆเบฒเบงเป„เบ”เป‰เบ›เบฐเบเบปเบ”เบ‚เบถเป‰เบ™เบˆเบฒเบเป€เบงเบตเบŠเบฑเปˆเบ™ 8.0.0-beta1 เปเบฅเบฐเบ–เบทเบเปเบเป‰เป„เบ‚เปƒเบ™เบเบฒเบ™เบ›เปˆเบญเบ Grafana 8.3.1, 8.2.7, 8.1.8 เปเบฅเบฐ 8.0.7, เปเบ•เปˆเบซเบผเบฑเบ‡เบˆเบฒเบเบ™เบฑเป‰เบ™เบชเบญเบ‡เบŠเปˆเบญเบ‡เป‚เบซเบงเปˆเบ—เบตเปˆเบ„เป‰เบฒเบเบ„เบทเบเบฑเบ™เป„เบ”เป‰เบ–เบทเบเบฅเบฐเบšเบธ (CVE-2021-43813, CVE-2021- 43815) เป€เบŠเบดเปˆเบ‡เบ›เบฐเบเบปเบ”เป€เบฅเบตเปˆเบกเบˆเบฒเบ Grafana 5.0.0 เปเบฅเบฐ Grafana 8.0.0-beta3, เปเบฅเบฐเบญเบฐเบ™เบธเบเบฒเบ”เปƒเบซเป‰เบœเบนเป‰เปƒเบŠเป‰ Grafana เบ—เบตเปˆเบกเบตเบ„เบงเบฒเบกเบ–เบทเบเบ•เป‰เบญเบ‡เบ‚เบญเบ‡เบเบฒเบ™เป€เบ‚เบปเป‰เบฒเป€เบ–เบดเบ‡เป„เบŸเบฅเปŒเบ—เบตเปˆเบ•เบปเบ™เป€เบญเบ‡เบกเบฑเบเบขเบนเปˆเปƒเบ™เบฅเบฐเบšเบปเบšเบ”เป‰เบงเบเบชเปˆเบงเบ™เบ‚เบฐเบซเบเบฒเบ ".md" เปเบฅเบฐ ".csv" (เบžเป‰เบญเบกเป„เบŸเบฅเปŒ. เบŠเบทเปˆเบžเบฝเบ‡เปเบ•เปˆเบขเบนเปˆเปƒเบ™เบ•เบปเบงเบžเบดเบกเบ™เป‰เบญเบเบซเบผเบทเบ•เบปเบงเบžเบดเบกเปƒเบซเบเปˆเป€เบ—เบปเปˆเบฒเบ™เบฑเป‰เบ™), เป‚เบ”เบเบœเปˆเบฒเบ™เบเบฒเบ™เบซเบกเบนเบ™เปƒเบŠเป‰เบ‚เบญเบ‡ ".." เบ•เบปเบงเบญเบฑเบเบชเบญเบ™เปƒเบ™เป€เบชเบฑเป‰เบ™เบ—เบฒเบ‡ "/api/plugins/.*/markdown/.*" เปเบฅเบฐ "/api/ds/query". เป€เบžเบทเปˆเบญเบฅเบปเบšเบฅเป‰เบฒเบ‡เบŠเปˆเบญเบ‡เป‚เบซเบงเปˆเป€เบซเบผเบปเปˆเบฒเบ™เบตเป‰, เบเบฒเบ™เบ›เบฑเบšเบ›เบธเบ‡ Grafana 8.3.2 เปเบฅเบฐ 7.5.12 เป„เบ”เป‰เบ–เบทเบเบชเป‰เบฒเบ‡เบ‚เบทเป‰เบ™.

เปเบซเบผเปˆเบ‡เบ‚เปเป‰เบกเบนเบ™: opennet.ru

เป€เบžเบตเปˆเบกเบ„เบงเบฒเบกเบ„เบดเบ”เป€เบซเบฑเบ™