Kritische Sicherheitslücke in Grafana
- Warnmeldung
Die CSBW warnt vor einer kritischen Schwachstelle in der Analyse- und Visualisierungs-Software Grafana des Herstellers Grafana Labs. Das Unternehmen stellt abgesicherte Versionen zur Verfügung.
© Timon - stock.adobe.com
Updates schließen die Lücke
Das Unternehmen Grafana Labs veröffentlichte am 17. Oktober 2024 eine Sicherheitsmeldung zur kritischen Sicherheitslücke CVE-2024-9264 in seiner Software Grafana. CVE-2024-9264 hat einen CVSS-Score von 9.9/10 und ermöglicht Kriminellen, SQL-Injection-Angriffe auszuführen. Hierüber können die Angreifenden auf sämtliche Dateien innerhalb einer Grafana-Instanz und der zugehörigen Cloud zugreifen, diese Dateien manipulieren und abgreifen.
Die Schwachstelle betrifft alle Grafana-Versionen ab Version 11.0.0. Grafana Labs stellt sowohl die abgesicherten Versionen 11.0.6, 11.1.7 und 11.2.2 als auch einen Security Fix bereit.
Empfehlungen
- Installieren Sie umgehend die Grafana-Version 11.0.6, 11.1.7, 11.2.2 bzw. den Security Fix, je nach Konfiguration.
- Wenn Sie nicht unmittelbar auf eine abgesicherte Grafana-Version wechseln können, entfernen Sie die DuckDB-Binärdatei aus Ihrer Grafana-Instanz.