2020-2171: Grafana: Mehrere Schwachstellen ermöglichen u. a. einen Server-Side-Request-Forgery-Angriff

Historie:

Version 1 (2020-10-05 12:19)

Neues Advisory

Betroffene Software

Netzwerk

Betroffene Plattformen

Linux

Beschreibung:

In Grafana existieren mehrere Schwachstellen. Eine ermöglicht einem entfernten Angreifer einen Server-Side-Request-Forgery (SSRF)-Angriff durchzuführen und dadurch Informationen auszuspähen. Zwei Schwachstellen ermöglichen einem entfernten Angreifer mit üblichen Benutzerrechten Informationen auszuspähen oder einen Denial-of-Service (DoS)-Angriff durchzuführen. Eine weitere Schwachstelle ermöglicht einem entfernten Angreifer einen Cross-Site-Scripting (XSS)-Angriff. Ein erfolgreicher Angriff erfordert dabei die Interaktion eines Benutzers und kann Einfluss auf andere Komponenten betroffener Systeme haben.

Für openSUSE Backports SLE 15 SP1 steht ein Sicherheitsupdate für 'grafana' bereit, um die Schwachstellen zu beheben.

Schwachstellen:

CVE-2018-19039

Schwachstelle in Grafana ermöglicht Ausspähen von Informationen

CVE-2019-15043

Schwachstelle in Grafana ermöglicht Denial-of-Service-Angriff

CVE-2020-12245

Schwachstelle in Grafana ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-13379

Schwachstelle in Grafana ermöglicht Server-Side-Request-Forgery-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.