No final do mês de agosto tivemos uma importante notícia quanto a resolução de uma vulnerabilidade do Grafana. Todas as implementações que utilizavam LDAP e OAuth estavam vulneráveis por conta de o Grafana 2.x, 3.x e 4.x anteriores a 4.6.4 e 5.x anteriores a 5.2.3 permitirem o bypass de autenticação. Onde um invasor pode gerar um cookie “remember me” válido sabendo apenas um nome de usuário de um usuário LDAP ou OAuth.
Imediatamente o time de desenvolvimento do Grafana reconheceu a alta gravidade dessa vulnerabilidade e desenvolveu um patch para 5.x e 4.x.
Todas as instalações que usam os recursos de autenticação LDAP ou OAuth do Grafana devem ser atualizadas o mais rápido possível. Se você não pode atualizar, você deve alterar o mecanismo de autenticação ou colocar proteções adicionais na frente do Grafana, como um proxy reverso.
Referências:
https://nvd.nist.gov/vuln/detail/CVE-2018-15727
https://grafana.com/blog/2018/08/29/grafana-5.2.3-and-4.6.4-released-with-important-security-fix/
https://community.grafana.com/t/grafana-5-2-3-and-4-6-4-security-update/10050
https://www.securityfocus.com/bid/105184/info
Nosso serviço de Monitoring as a Service (MaaS) que possui o Grafana, na versão com o bug corrigido, 5.2.3 e para clientes já utilizando o Grafana nas versões anteriores, possuímos o update em um click. Mais informações em MyZ.Cloud