【漏洞通告】Grafana任意文件读取漏洞(CVE-2021-43798)

发布时间:2021-12-19   来源:宁夏凯信特  浏览次数:373

       一、 Grafana介绍

Grafana是一个跨平台的开源的度量分析和可视化工具,可以通过将采集的数据查询然后可视化的展示。

       二、 查看是否开启相关服务

方法一:查看启动服务是否需要如下命令 service grafana-server start

浏览器访问 http://127.0.0.1: 3000,查看是否存在;

方法二:Windows查看任务管理器是否存在grafana相关进程;Linux输入ps -ef |grep “grafana-server”查看是否存在如下进程;

       若确定存在,查看服务版本是否为8.0.0 - beta1 - 8.3.0,访问http://127.0.0.1: 3000(默认为3000,若修改过服务端口,需访问修改后的),在左下角可以看到版本号

       三、 解决方法

访问 https://grafana.com/blog/2021/12/07/grafana-8.3.1-8.2.7-8.1.8-and-8.0.7-released-with-high-severity-security-fix/ 下载补丁进行升级。

       若无法升级补丁,可采用如下方法:

1、使用边界waf功能设置Grafana仅对可信地址开放。

2、利用Nginx等代理或者负载均衡设备禁止含有 .. 的请求以进行临时防御。