Sicherheitsupdate: Admin-Tool Grafana Enterprise ist verwundbar
Angreifer könnten Systeme mit der Datenvisualisierungssoftware Grafana Enterprise attackieren.
(Bild: Photon photo/Shutterstock.com)
Unter bestimmten Voraussetzungen sind Computer, auf denen Grafana Enterprise läuft, angreifbar. Eine aktualisierte Version schafft Abhilfe
Die Software sammelt Daten aus verschiedenen Quellen, etwa MySQL und PostgreSQL, und visualisiert das Gesammelte an einer Stelle. Systeme sind aber nur gefährdet, wenn das Beta-Feature Fine-grained Access Control aktiv ist und mindestens zwei API-Schlüssel mit verschiedenen Rollen zum Einsatz kommen. Davon sind Grafana Enterprise 8.1.0-beta1 bis 8.4.5 betroffen. Grafana OSS ist den Entwicklern zufolge nicht betroffen.
Die Sicherheitslücke (CVE-2022-24812) ist mit dem Bedrohungsgrad "hoch" eingestuft. Bei Umgang von Clients mit API-Schlüsseln kann es zu Fehlern kommen, sodass Angreifer sich höhere Nutzerrechte verschaffen können.
Grafana Enterprise 8.4.6 soll gegen solche Attacken gerüstet sein. Grafana Cloud soll bereits abgesichert sein.
[UPDATE 14.04.2022 13:45]
Betroffenes Tool in Headline, Anriss und Fließtext präzisiert.
(des)
