L’équipe Grafana a publié une mise à jour de sécurité qui corrige deux vulnérabilités, dont une d’importance élevée.

Grafana est un logiciel libre qui permet de générer des graphiques de suivi des données de monitoring serveur.

L’équipe de Grafana vient de publier une mise à jour de sécurité qui corrige deux vulnérabilité, de sévérité haute et moyenne, les CVE-2023-28119 (score CVSS 7.5/10) et CVE-2023-1387 (score CVSS de 4.2/10).

Les CVE

Risque de déni de service lié à l’utilisation de SAML : CVE-2023-28119, risque élevé

L’utilisation de flate.NewReader dans crewjam/saml ne limite pas la taille de l’entrée.
L’utilisateur peut transmettre plus de 1 Mo de données dans la requête HTTP aux fonctions de traitement, qui seront décompressées côté serveur à l’aide de l’algorithme Deflate.
Il est possible d’obtenir un crash fiable en répétant l’opération plusieurs fois, puisque le système d’exploitation tue le processus.

Versions de Grafana affectées :

Toutes les installations de Grafana Enterprise >= 7.3.0-beta1.

Seules les instances de Grafana Enterprise où SAML with Single Logout est utilisé sont vulnérables. Les attaques DoS potentielles peuvent causer des temps d’arrêt et d’autres effets secondaires en fonction des cas d’utilisation.

Solutions et atténuations :

Pour traiter complètement la vulnérabilité CVE-2023-28119, veuillez mettre à jour vos instances Grafana. Les correctifs appropriés ont été appliqués à Grafana Cloud.

Une autre solution consiste à désactiver la déconnexion unique dans SAML ou à ne pas utiliser entièrement l’authentification SAML pour atténuer la vulnérabilité.

CVE-2023-28119 score CVSS  de 7.5 (high) :

https://nvd.nist.gov/vuln/detail/CVE-2023-28119

 

Exposition de données sensibles sans identification : CVE-2023-1387, risque moyen

Malgré le fait que nous indiquons ce risque dans la documentation et qu’il nécessite qu’un attaquant ait le contrôle de la source de données, le jeton JWT peut toujours être divulgué à une source de données lorsque GF_AUTH_JWT_URL_LOGIN est défini à true.

Versions impactées

Toutes les installations pour les versions de Grafana >= 9.1.0.

Grafana Cloud n’est pas impacté.

Solutions et atténuations

Pour résoudre la vulnérabilité CVE-2023-1387, veuillez mettre à jour vos instances de Grafana.

Bien que Grafana Cloud ne soit pas impacté, les correctifs appropriés ont malgré tout été appliqués par mesure de précaution.

CVE-2023-1387 score CVSS de 4.2 (medium) :

https://nvd.nist.gov/vuln/detail/CVE-2023-1387

Les correctifs

Vous pouvez télécharger les correctifs sur le site de l’éditeur à l’adresse :

https://grafana.com/blog/2023/04/26/grafana-security-release-new-versions-of-grafana-with-security-fixes-for-cve-2023-28119-and-cve-2023-1387/