Grafana có lỗ hổng Zero-Day, bạn cần cập nhật ngay
Grafana vừa vá lỗ hổng bảo mật Zero-Day Path Traversal CVE-2021-43798 thông qua bản cập nhật mới nhất, sau khi phát hiện nó bị khai thác tràn lan và được đăng tải trên Twitter và Github.
Và đây là lỗ hổng Zero-Day đầu tiên của Grafana kể từ khi hoạt động, người dùng nên cập nhật bản mới nhất càng sớm càng tốt.
Lỗ hổng được công khai trên Twitter
Tóm tắt về lỗ hổng Path Traversal CVE-2021-43798
Vào ngày 03.12.2021, các nhà nghiên cứu bảo mật đã phát hiện Grafana bị lỗ hổng Path Traversal, cho phép hacker có thể đọc được nội dung các file nhạy cảm trên máy chủ, như file /etc/passwd. Và các phiên bản Grafana bị ảnh hưởng là từ v8.0.0-beta1 đến v8.3.0.
Vì lỗ hổng zero-day này đã bị rò rỉ ra bên ngoài, nên Grafana Labs đã phải xuất bản bản cập nhật sửa lỗi càng sớm càng tốt. Dưới đây là các mốc thời gian:
- 2021-12-06: Grafana nhận được báo cáo về lỗ hổng
- 2021-12-07: Grafana nhận được thông tin lỗ hổng đã bị rò rỉ ra công chúng, và trở thành lỗ hổng Zero-Day
- 2021-12-07: Công ty quyết định tung bản cập nhật
- 2021-12-07: Bản cập nhật được có sau 2 giờ, thay vì 1 tuần như thường lệ.
- 2021-12-07: Bản cập nhật được phát hành công khai
Ngoài ra, lỗ hổng này nhận được điểm nghiêm trọng 7,5 và vẫn có thể bị khai thác được trên các máy chủ chưa được cập nhật phiên bản mới. Vì vậy, tất cả người dùng đang sử dụng Grafana phiên bản từ v8.0.0-beta1 đến v8.3.0 phải nâng cấp càng sớm càng tốt.