bencede
New member
Grafana veri görselleştirme aracı, çeşitli sürüm dalları için yeni bir sürümde mevcuttur. Hepsi, yüksek riskli olarak sınıflandırılan bir güvenlik açığını kapatan bir düzeltme içerir. Grafana’nın bulut sürümleri zaten güncel, şirket içi kurulumları olan BT yöneticileri mevcut güncellemeleri hızla uygulamalıdır.
Grafana: Yüksek riskli güvenlik açığı
Tüm yeni sürümler, üçüncü taraf bileşenin kapattığı bir güvenlik açığını düzeltir crewjam/saml Selamlar. Grafana, kimlik doğrulama bilgilerini değiş tokuş etmek için SAML (Security Assertion Markup Language) kitaplığını kullanır. İşlev flate.NewReader girişlerin uzunluğunu sınırlamaz. Saldırganlar, Deflate algoritması kullanılarak sunucu tarafında sıkıştırılmış olan bir HTTP isteğinde işleve bir megabayttan fazla veri gönderebilir. Birden fazla istek göndermek, işletim sistemi işlemi sonlandırdığı için güvenilir bir şekilde çökebilir (CVE-2023-28119, CVSS 7.5risk”yüksek“).
Grafana’yı yapılandırırken, JSON Web Token (JWT) kimlik doğrulamasını kullanma seçeneğini etkinleştirebilirsiniz. Bu, kullanıcıların özel başlıklarla kimlik doğrulaması yapmasına olanak tanır. Grafana ayrıca belirtecin bir sorgu parametresi olarak iletildiği URL erişimini de destekler. Sonuç olarak, hassas bilgileri yetkisiz üçüncü taraflara ifşa edebilecek bir başlık olarak veri kaynağına iletilir (CVE-2023-1387, CVSS 4.2, yarım).
Yüksek riskli güvenlik açığı, sürüm 7.3.0-beta1’den itibaren Grafana Enterprise’ı, sürüm 9.1.0’dan olası bilgi sızıntısı Grafana’yı etkiler. Güncellenmiş Grafana sürümleri 9.5.1, 9.5.0, 9.4.9, 9.3.13 ve 9.2.17 güvenlik açıklarını kapatır. 8.5.24 sadece yüksek risk açığını kapatır, şube 8’de veri sızıntısı olmaz.
Güncellenmiş sürüm indirmeleri, Grafana Güvenlik Danışma Belgesinde bağlantılıdır. Yöneticiler, saldırı yüzeyini en aza indirmek için bunları zamanında indirmeli ve kurmalıdır.
Grafana projesi, Mart ayında en son sürüm 9.4’ü yayınladı. Diğer şeylerin yanı sıra, geliştiriciler Panel_Design’ı yenilediler, arama ve gezinmeyi güncellediler ve yeni kimlik doğrulama özellikleri sundular.
(dmk)
Haberin Sonu
Grafana: Yüksek riskli güvenlik açığı
Tüm yeni sürümler, üçüncü taraf bileşenin kapattığı bir güvenlik açığını düzeltir crewjam/saml Selamlar. Grafana, kimlik doğrulama bilgilerini değiş tokuş etmek için SAML (Security Assertion Markup Language) kitaplığını kullanır. İşlev flate.NewReader girişlerin uzunluğunu sınırlamaz. Saldırganlar, Deflate algoritması kullanılarak sunucu tarafında sıkıştırılmış olan bir HTTP isteğinde işleve bir megabayttan fazla veri gönderebilir. Birden fazla istek göndermek, işletim sistemi işlemi sonlandırdığı için güvenilir bir şekilde çökebilir (CVE-2023-28119, CVSS 7.5risk”yüksek“).
Grafana’yı yapılandırırken, JSON Web Token (JWT) kimlik doğrulamasını kullanma seçeneğini etkinleştirebilirsiniz. Bu, kullanıcıların özel başlıklarla kimlik doğrulaması yapmasına olanak tanır. Grafana ayrıca belirtecin bir sorgu parametresi olarak iletildiği URL erişimini de destekler. Sonuç olarak, hassas bilgileri yetkisiz üçüncü taraflara ifşa edebilecek bir başlık olarak veri kaynağına iletilir (CVE-2023-1387, CVSS 4.2, yarım).
Yüksek riskli güvenlik açığı, sürüm 7.3.0-beta1’den itibaren Grafana Enterprise’ı, sürüm 9.1.0’dan olası bilgi sızıntısı Grafana’yı etkiler. Güncellenmiş Grafana sürümleri 9.5.1, 9.5.0, 9.4.9, 9.3.13 ve 9.2.17 güvenlik açıklarını kapatır. 8.5.24 sadece yüksek risk açığını kapatır, şube 8’de veri sızıntısı olmaz.
Güncellenmiş sürüm indirmeleri, Grafana Güvenlik Danışma Belgesinde bağlantılıdır. Yöneticiler, saldırı yüzeyini en aza indirmek için bunları zamanında indirmeli ve kurmalıdır.
Grafana projesi, Mart ayında en son sürüm 9.4’ü yayınladı. Diğer şeylerin yanı sıra, geliştiriciler Panel_Design’ı yenilediler, arama ve gezinmeyi güncellediler ve yeni kimlik doğrulama özellikleri sundular.
(dmk)
Haberin Sonu