今天Grafana推出了 Grafana 11.0.x、11.1.x 和 11.2.x 的补丁版本,其中包含对 CVE-2024-9264 的修复,这是 Grafana 中的一个严重安全漏洞,它通过 SQL 表达式引入了命令注入和本地文件包含 (LFI)。
注意:出于谨慎考虑,我们发布了两组包含此漏洞修复程序的安全补丁。
对于只想要安全修复的用户,请升级到以下版本之一:
版本 11.0.5+security-01
版本 11.1.6+security-01
版本 11.2.1+security-01
对于想要升级到最新版本的 Grafana(10 月 1 日发布)以及安全修复的用户,请升级到以下版本之一:
版本 11.0.6+security-01
版本 11.1.7+security-01
版本 11.2.2+security-01
通过 SQL 表达式进行命令注入和本地文件包含(CVE-2024-9264)
概括
Grafana Labs 的一名工程师发现了 Grafana 11 中引入的 RCE(远程代码执行)漏洞。该漏洞存在于名为 SQL Expressions 的实验性功能中,该功能允许通过执行一个或多个 SQL 查询对数据源查询输出进行后处理。它通过将查询和数据传递给 DuckDB CLI 来实现这一点,DuckDB CLI 针对 DataFrame 数据执行 SQL。这些 SQL 查询未完全清理,导致命令注入和本地文件包含漏洞。
由于功能标记的实现不正确,该实验性功能默认为 API 启用。但是,要利用该功能,DuckDB 二进制文件必须可以通过 Grafana 进程环境的 PATH 访问。默认情况下,DuckDB 二进制文件不与 Grafana 一起打包,因此要利用该功能,系统必须安装 DuckDB 并将其包含在 Grafana 的 PATH 中。如果不存在 DuckDB,则系统不易受攻击。
该漏洞的 CVSS v3.1 评分为9.9 Critical。
已对 Grafana Cloud 应用了适当的补丁。与往常一样,我们还与所有获得提供 Grafana Cloud Pro 许可的云提供商密切协调。他们在禁令下收到了早期通知,并确认他们的产品在发布此公告时是安全的。这适用于 Amazon Managed Grafana 和 Azure Managed Grafana。
影响
该漏洞可用于访问主机上的任何文件,包括这些文件中的任何未加密密码。任何具有查看者权限或更高权限的 Grafana 用户都能够执行此攻击。
解决方案和缓解措施
如果您的实例存在漏洞,我们强烈建议您尽快升级到 Grafana 的修补版本之一。
作为缓解措施,请duckdb从 PATH 中删除该二进制文件,或将其从系统中完全删除。其他 Grafana 功能均不需要它,并且该二进制文件不存在于正常发行版中。
受影响的版本
Grafana >= v11.0.0(所有 v11.x.y 均受到影响)
时间线和事后回顾
所有时间均为 UTC
2024-02-27 - PR 合并,向 Grafana 添加 SQL 表达式。
2024-09-26 15:54-内部员工发现漏洞。
2024-09-26 18:34 - Grafana 工程师确认该 API 容易受到 LFI 攻击。
2024-09-26 19:39 - Grafana 工程师发现 RCE 也可能基于 DuckDB 中提供的功能。
2024-09-26 20:10-漏洞等级为 9.9。
2024-09-27 13:03 - Grafana Cloud 的所有渠道均已完成安全补丁的滚动发布。
2024-09-27 15:04——决定从 Grafana OSS 和 Grafana Enterprise 中完全删除 SQL 表达式功能,以便发布安全版本。
2024-09-30 02:12——所有安全补丁均已编写并合并,删除了 SQL 表达式功能。
2024-10-01 13:58 - 已启用的九个生产实例的功能切换已禁用。该功能现已在 Grafana Cloud 中的所有实例中禁用。
2024-10-02 20:57——所有工件均已构建并验证。
2024-10-03 08:00-私人发布。
2024-10-18 02:18——公开发布。
2024-10-18 03:00-博客发布。
报告安全问题
如果您认为发现了安全漏洞,请转到我们的报告安全问题页面了解如何发送安全报告。
Grafana Labs 将向您发送回复,指示处理报告的后续步骤。在对您的报告进行初步回复后,安全团队将随时向您通报修复和完整公告的进展情况,并可能会要求您提供更多信息或指导。
重要提示:我们要求您不要在漏洞修复和公布之前披露该漏洞,除非您收到 Grafana Labs 安全团队的回复,您可以这样做。
评论