рдПрдЙрдЯрд╛ рдЬреЛрдЦрд┐рдо (CVE-2021-43798) рдЦреБрд▓рд╛ рдбрд╛рдЯрд╛ рднрд┐рдЬреБрдЕрд▓рд╛рдЗрдЬреЗрд╢рди рдкреНрд▓реЗрдЯрдлрд░реНрдо Grafana рдорд╛ рдкрд╣рд┐рдЪрд╛рди рдЧрд░рд┐рдПрдХреЛ рдЫ, рдЬрд╕рд▓реЗ рддрдкрд╛рдИрдВрд▓рд╛рдИ рдЖрдзрд╛рд░ рдбрд╛рдЗрд░реЗрдХреНрдЯрд░реА рднрдиреНрджрд╛ рдмрд╛рд╣рд┐рд░ рднрд╛рдЧреНрди рд░ рд╕рд░реНрднрд░рдХреЛ рд╕реНрдерд╛рдиреАрдп рдлрд╛рдЗрд▓ рдкреНрд░рдгрд╛рд▓реАрдорд╛ рд╕реНрд╡реЗрдЪреНрдЫрд╛рдЪрд╛рд░реА рдлрд╛рдЗрд▓рд╣рд░реВрдорд╛ рдкрд╣реБрдБрдЪ рдкреНрд░рд╛рдкреНрдд рдЧрд░реНрди рдЕрдиреБрдорддрд┐ рджрд┐рдиреНрдЫ, рдЬрд╣рд╛рдБрд╕рдореНрдо рдкрд╣реБрдБрдЪ рдЕрдзрд┐рдХрд╛рд░рд╣рд░реВ рдЫрдиреНред Grafana рдЪрд▓рд┐рд░рд╣реЗрдХреЛ рдкреНрд░рдпреЛрдЧрдХрд░реНрддрд╛рдХреЛ рдЕрдиреБрдорддрд┐ рджрд┐рдиреНрдЫред рд╕рдорд╕реНрдпрд╛ рдкрде рд╣реНрдпрд╛рдиреНрдбрд▓рд░ "/public/plugins/ рдХреЛ рдЧрд▓рдд рд╕рдЮреНрдЪрд╛рд▓рдирдХреЛ рдХрд╛рд░рдгрд▓реЗ рднрдПрдХреЛ рд╣реЛред /", рдЬрд╕рд▓реЗ рдЕрдиреНрддрд░реНрдирд┐рд╣рд┐рдд рдирд┐рд░реНрджреЗрд╢рд┐рдХрд╛рд╣рд░реВрдорд╛ рдкрд╣реБрдБрдЪ рдЧрд░реНрди ".." рдХреНрдпрд╛рд░реЗрдХреНрдЯрд░рд╣рд░реВрдХреЛ рдкреНрд░рдпреЛрдЧрд▓рд╛рдИ рдЕрдиреБрдорддрд┐ рджрд┐рдпреЛред
тАЬ/public/plugins/graph/тАЭ, тАЬ/public/plugins/mysql/тАЭ рд░ тАЬ/public/plugins/prometheus/тАЭ рдЬрд╕реНрддрд╛ рд╕рд╛рдорд╛рдиреНрдп рдкреВрд░реНрд╡-рд╕реНрдерд╛рдкрд┐рдд рдкреНрд▓рдЧрдЗрдирд╣рд░реВрдХреЛ URL рдкрд╣реБрдБрдЪ рдЧрд░реЗрд░ рдЬреЛрдЦрд┐рдордХреЛ рд╢реЛрд╖рдг рдЧрд░реНрди рд╕рдХрд┐рдиреНрдЫред рдкреНрд▓рдЧрдЗрдирд╣рд░реВ рдХреБрд▓рдорд╛ рдкреВрд░реНрд╡-рд╕реНрдерд╛рдкрд┐рдд рдЫрдиреН)ред рдЙрджрд╛рд╣рд░рдгрдХрд╛ рд▓рд╛рдЧрд┐, /etc/passwd рдлрд╛рдЗрд▓ рдкрд╣реБрдБрдЪ рдЧрд░реНрди, рддрдкрд╛рдИрдВрд▓реЗ рдЕрдиреБрд░реЛрдз рдкрдард╛рдЙрди рд╕рдХреНрдиреБрд╣реБрдиреНрдЫ "/public/plugins/prometheus/../../../../../../../../etc /passwd"ред рд╢реЛрд╖рдгрдХреЛ рдЯреНрд░реЗрд╕рд╣рд░реВ рдкрд╣рд┐рдЪрд╛рди рдЧрд░реНрди, HTTP рд╕рд░реНрднрд░ рд▓рдЧрд╣рд░реВрдорд╛ "..%40f" рдорд╛рд╕реНрдХрдХреЛ рдЙрдкрд╕реНрдерд┐рддрд┐ рдЬрд╛рдБрдЪ рдЧрд░реНрди рд╕рд┐рдлрд╛рд░рд┐рд╕ рдЧрд░рд┐рдиреНрдЫред
рд╕рдорд╕реНрдпрд╛ рд╕рдВрд╕реНрдХрд░рдг 8.0.0-beta1 рдмрд╛рдЯ рд╕реБрд░реБ рднрдПрдХреЛ рджреЗрдЦрд╛ рдкрд░реНтАНрдпреЛ рд░ Grafana 8.3.1, 8.2.7, 8.1.8 рд░ 8.0.7 рдХреЛ рд░рд┐рд▓реАрдЬрдорд╛ рдлрд┐рдХреНрд╕ рдЧрд░рд┐рдПрдХреЛ рдерд┐рдпреЛ, рддрд░ рддреНрдпрд╕рдкрдЫрд┐ рдердк рджреБрдИ рд╕рдорд╛рди рдХрдордЬреЛрд░реАрд╣рд░реВ рдкрд╣рд┐рдЪрд╛рди рдЧрд░рд┐рдпреЛ (CVE-2021-43813, CVE-2021- 43815) рдЬреБрди Grafana 5.0.0 рд░ Grafana 8.0.0-beta3 рдмрд╛рдЯ рд╕реБрд░реБ рднрдПрдХреЛ рдерд┐рдпреЛ, рд░ рдПрдХ рдкреНрд░рдорд╛рдгреАрдХреГрдд Grafana рдкреНрд░рдпреЛрдЧрдХрд░реНрддрд╛рд▓рд╛рдИ рдкреНрд░рдгрд╛рд▓реАрдорд╛ ".md" рд░ ".csv" (рдлрд╛рдЗрд▓рдХреЛ рд╕рд╛рдердорд╛) рдПрдХреНрд╕рдЯреЗрдиреНрд╕рдирд╣рд░реВрд╕рдБрдЧ рдордирдорд╛рдиреА рдлрд╛рдЗрд▓рд╣рд░реВ рдкрд╣реБрдБрдЪ рдЧрд░реНрди рдЕрдиреБрдорддрд┐ рджрд┐рдпреЛред рдирд╛рдорд╣рд░реВ рдХреЗрд╡рд▓ рддрд▓реНрд▓реЛ рд╡рд╛ рдХреЗрд╡рд▓ рдареВрд▓реЛ рдЕрдХреНрд╖рд░рдорд╛), "/api/plugins/.*/markdown/.*" рд░ "/api/ds/query" рдорд╛рд░реНрдЧрд╣рд░реВрдорд╛ ".." рд╡рд░реНрдгрд╣рд░реВрдХреЛ рд╣реЗрд░рдлреЗрд░ рдорд╛рд░реНрдлрддред рдпреА рдХрдордЬреЛрд░реАрд╣рд░реВ рд╣рдЯрд╛рдЙрди, Grafana 8.3.2 рд░ 7.5.12 рдЕрджреНрдпрд╛рд╡рдзрд┐рдХрд╣рд░реВ рд╕рд┐рд░реНрдЬрдирд╛ рдЧрд░рд┐рдпреЛред
рд╕реНрд░реЛрдд: opennet.ru