Update de segurança para o Grafana

No final do mês de agosto tivemos uma importante notícia quanto a resolução de uma vulnerabilidade do Grafana. Todas as implementações que utilizavam LDAP e OAuth estavam vulneráveis por conta de o Grafana 2.x, 3.x e 4.x anteriores a 4.6.4 e 5.x anteriores a 5.2.3 permitirem o bypass de autenticação. Onde um invasor pode gerar um cookieremember me” válido sabendo apenas um nome de usuário de um usuário LDAP ou OAuth.

Imediatamente o time de desenvolvimento do Grafana reconheceu a alta gravidade dessa vulnerabilidade e desenvolveu um patch para 5.x e 4.x.

Todas as instalações que usam os recursos de autenticação LDAP ou OAuth do Grafana devem ser atualizadas o mais rápido possível. Se você não pode atualizar, você deve alterar o mecanismo de autenticação ou colocar proteções adicionais na frente do Grafana, como um proxy reverso.

Referências:

https://nvd.nist.gov/vuln/detail/CVE-2018-15727

https://grafana.com/blog/2018/08/29/grafana-5.2.3-and-4.6.4-released-with-important-security-fix/

https://community.grafana.com/t/grafana-5-2-3-and-4-6-4-security-update/10050

https://www.securityfocus.com/bid/105184/info

Nosso serviço de Monitoring as a Service (MaaS) que possui o Grafana, na versão com o bug corrigido, 5.2.3 e para clientes já utilizando o Grafana nas versões anteriores, possuímos o update em um click. Mais informações em MyZ.Cloud

 

Assine a nossa Newsletter!

Quer saber de próximos treinamentos, notícias, publicações, webinars e também sobre eventos da Unirede? Assine a nossa Newsletter e fique por dentro de todas as novidades.

Você pode gostar também…

Unirede Inteligência em TI recebe certificado GPTW

Unirede Inteligência em TI recebe certificado GPTW

O ano de 2020 tem sido muito (bastante mesmo) diferente daquilo que a gente esperava, não é mesmo? Em meio a todo esse cenário, nós conquistamos pela primeira vez a certificação Great Place to Work (GPTW), logo na primeira participação na pesquisa! E, esta conquista...

Omnichannel em tempos de COVID-19

Omnichannel em tempos de COVID-19

Já escrevi no passado sobre o que é omnichannel, o que eu não sabia na época é que estaríamos em 2020 passando pela pandemia que está acabando com vidas, economias e negócios. O COVID-19 está nos colocando em uma situação totalmente nova, onde não existem manuais para...

Com o Zabbix 5.0, Monitoramento e Segurança são “unha e carne”

Com o Zabbix 5.0, Monitoramento e Segurança são “unha e carne”

Introdução Com a versão Zabbix 5.0, alguns gaps talvez antes não notados por alguns administradores Zabbix, foram sanados! Ufa... nosso monitoramento agora apresenta o melhor “Estado da Arte” em relação à Segurança Cibernética. Vamos conferir e começar a pensar em...

0 comentários

Enviar um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *