திறந்த தரவு காட்சிப்படுத்தல் தளமான கிராஃபனாவில் ஒரு பாதிப்பு (CVE-2021-43798) கண்டறியப்பட்டுள்ளது, இது அடிப்படை கோப்பகத்திற்கு அப்பால் தப்பிக்கவும், அணுகல் உரிமைகள் வரை, சேவையகத்தின் உள்ளூர் கோப்பு முறைமையில் உள்ள தன்னிச்சையான கோப்புகளுக்கான அணுகலைப் பெறவும் உங்களை அனுமதிக்கிறது. கிராஃபானா இயங்கும் பயனரின் கீழ் அனுமதிக்கிறது. பாதை கையாளுபவரின் தவறான செயல்பாட்டினால் சிக்கல் ஏற்படுகிறது “/public/plugins/ //, இது ".." எழுத்துகளைப் பயன்படுத்தி அடிப்படை கோப்பகங்களை அணுக அனுமதித்தது.
"/public/plugins/graph/", "/public/plugins/mysql/" மற்றும் "/public/plugins/prometheus/" (சுமார் 40) போன்ற முன்-நிறுவப்பட்ட செருகுநிரல்களின் URL ஐ அணுகுவதன் மூலம் பாதிப்பைப் பயன்படுத்திக் கொள்ளலாம். செருகுநிரல்கள் மொத்தமாக முன்பே நிறுவப்பட்டுள்ளன) . எடுத்துக்காட்டாக, /etc/passwd கோப்பை அணுக, நீங்கள் கோரிக்கையை அனுப்பலாம் "/public/plugins/prometheus/../../../../../../../../etc /passwd". சுரண்டலின் தடயங்களை அடையாளம் காண, http சர்வர் பதிவுகளில் “..%2f” மாஸ்க் இருக்கிறதா எனச் சரிபார்க்க பரிந்துரைக்கப்படுகிறது.
பதிப்பு 8.0.0-beta1 இலிருந்து பிரச்சனை தோன்றியது மற்றும் Grafana 8.3.1, 8.2.7, 8.1.8 மற்றும் 8.0.7 வெளியீடுகளில் சரி செய்யப்பட்டது, ஆனால் பின்னர் இதே போன்ற இரண்டு பாதிப்புகள் அடையாளம் காணப்பட்டன (CVE-2021-43813, CVE-2021- 43815) இது Grafana 5.0.0 மற்றும் Grafana 8.0.0-beta3 இலிருந்து தொடங்கி, அங்கீகரிக்கப்பட்ட Grafana பயனருக்கு ".md" மற்றும் ".csv" (கோப்புடன்) நீட்டிப்புகளுடன் கணினியில் தன்னிச்சையான கோப்புகளை அணுக அனுமதித்தது. "/api/plugins/.*/markdown/.*" மற்றும் "/api/ds/query" ஆகிய பாதைகளில் உள்ள ".." எழுத்துகளை கையாளுவதன் மூலம் பெயர்கள் சிறிய அல்லது பெரிய எழுத்துக்களில் மட்டுமே. இந்த பாதிப்புகளை அகற்ற, Grafana 8.3.2 மற்றும் 7.5.12 மேம்படுத்தல்கள் உருவாக்கப்பட்டன.
ஆதாரம்: opennet.ru