开源的分析暨可视化应用Grafana紧急修补出现攻击程序的安全漏洞

开源的分析暨交互式可视化应用Grafana在本周二(12/7)紧急发布更新,以修补已出现攻击程序的CVE-2021-43798漏洞。

Grafana可连接各种数据源,并提供图表、图形或警报,为监控堆栈的热门组件,经常与时序数据库、监控平台、安全事件管理平台及其它数据源一起使用。

安全研究人员是在12月3日通报Grafana,指出该应用含有一个目录穿越(Directory Traversal)漏洞,允许黑客访问本地文件。Grafana内部确认该漏洞波及Grafana 8.0.0 Beta1至Grafana 8.3.0版,而且只要预装Prometheus或MySQL等插件的Grafana实例都遭到牵连,惟Grafana Cloud并未受到影响。

Grafana原本计划要在7日通知客户,14日才会对外发布,然而,CVE-2021-43798漏洞信息不但先行曝光,相关的概念性验证攻击程序也现身于Twitter及GitHub,使得Grafana决定提前对外公开,并建议用户尽快部署已修补该漏洞的Grafana 8.0.7/8.1.8/8.2.7/8.3.1。