流行的监控和可观察性开源平台 Grafana 发现了一个严重的安全漏洞 (CVE-2024-9264)。该漏洞的 CVSS v3.1 得分为 9.9,攻击者可利用该漏洞在受影响的系统上执行任意代码,可能导致系统完全崩溃。
该漏洞源于一个名为 “SQL 表达式 ”的实验性功能,它允许用户使用 SQL 对数据源查询进行后处理。根据 Grafana 实验室发布的安全公告,“这些 SQL 查询没有经过完全消毒,导致命令注入和本地文件包含漏洞”。
这意味着,恶意行为者可以精心设计查询,摆脱预定的 SQL 上下文,执行系统命令或访问服务器上的敏感文件。令人担忧的是,该公告指出:”任何拥有查看器权限或更高权限的 Grafana 用户都能够执行这种攻击。
Grafana 实验室在其公告中解释说:”由于功能标志的实现不正确,API 默认启用了这一实验性功能。这一默认设置,再加上系统 PATH 中 DuckDB 二进制文件的可用性,使得环境很容易受到攻击。重要的是,DuckDB 二进制文件默认不与 Grafana 打包在一起,这意味着只有安装了 DuckDB 并可通过 PATH 访问的实例才有可能被利用。
Grafana 实验室已迅速采取行动解决 CVE-2024-9264 问题,为所有受影响的 Grafana 11 版本发布了修补版本。强烈建议用户立即升级到已打补丁的版本:
- 11.0.5+security-01 (仅安全修复)
- 11.1.6+security-01 (仅安全修复)
- 11.2.1+security-01 (仅安全修复)
- 11.0.6+security-01 (包含最新功能和安全修复)
- 11.1.7+security-01 (包含最新功能和安全修复)
- 11.2.2+security-01 (包括最新功能和安全修复)
“公告强调:”如果您的实例存在漏洞,我们强烈建议您尽快升级到已打补丁的 Grafana 版本之一。
作为临时缓解措施,Grafana 实验室建议从系统的 PATH 中移除 DuckDB 二进制文件或完全卸载它。