云服务器
  • 晏宇云
  • 腾讯云CVM
  • 阿里云Ecs
  • 快云服务器
  • 橙云主机
  • 其他云服务器
物理服务器
  • 服务器租用
  • 服务器托管 待上线
  • 高防服务器
  • 站群服务器
  • 宿主机服务器
网络
  • 动态IP
  • 融合CDN 待上线
域名与网站
  • 域名注册
  • 云虚拟主机
关联代付
  • 腾讯云
  • 阿里云
  • 景安
公告/产品公告/【安全通告】Grafana 任意文件读取漏洞风险通告/

【安全通告】Grafana 任意文件读取漏洞风险通告

作者:嘉和数码  发布时间:2021-12-27 11:33:37  浏览次数:311

尊敬的腾讯云用户,您好!

腾讯云安全运营中心监测到, Grafana被披露出存在任意文件读取漏洞,目前官方已发布安全公告及安全更新,分配漏洞编号:CVE-2021-43798。

为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。

漏洞详情

Grafana是一个跨平台、开源的数据可视化网络应用程序平台。


Grafana 存在未授权任意文件读取漏洞,攻击者可在未经身份验证的情况下,通过该漏洞读取主机上的任意文件。


风险等级

高风险

漏洞风险

攻击者利用该漏洞可导致未授权任意文件读取

影响版本

Grafana 8.0.0 - 8.3.0

安全版本

Grafana 8.3.1, 8.2.7, 8.1.8, 8.0.7

修复建议

官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本


其他临时缓解措施:
受影响的客户可以使用腾讯T-Sec云防火墙或安全组等措施设置Grafana仅对白名单地址开放,临时缓解该漏洞。

【备注】:建议您在升级前做好数据备份工作,避免出现意外

漏洞参考

https://github.com/grafana/grafana/security/advisories/GHSA-8pjx-jj86-j47p


腾讯云安全解决方案

- 腾讯T-Sec漏洞扫描服务、腾讯T-Sec主机安全(云镜)已支持检测企业资产是否存在Grafana任意文件读取漏洞;

- 腾讯T-Sec高级威胁检测系统(NTA,御界)、腾讯T-Sec Web应用防火墙均已升级,支持检测、或拦截Grafana 任意文件读取漏洞的攻击利用。