今天我们发布了Grafana 8.3.4和7.5.13。在其他修复中,这些补丁版本包括对所有Grafana安装7.5.x和8.x的重要安全修复。这些版本只有在管理员对数据源利用了OAuth转发并利用API密钥的情况下才会出现漏洞。
v8.3.4版本同时包含安全修复和其他补丁变化。因为这个问题仅是CVSS低值,我们决定将该修复作为正常补丁发布的一部分。
最新的稳定版本在v7.5.13。
Forward OAuth Identity Token (CVE-2022-21673)
摘要
在Grafana 7.2中,增加了一个功能,允许选择的数据源在请求数据时转发当前登录用户的OAuth访问令牌。如果在数据源上启用该功能,并向数据源发出API令牌请求,则会使用最近登录的用户的OAuth访问令牌,而不是提供的API令牌。
这不是预期的行为。我们在1月7日从Mikko Auvinen的安全邮件中收到关于这个问题的报告。
解决方案和缓解措施
如果你使用的是Grafana 7.2或更高版本或Grafana 8.x,并且使用Forward OAuth身份令牌,我们建议你升级到这个最新版本。如果你不能升级,你可以通过限制API令牌的可用性来缓解这一问题。
鸣谢
我们要感谢Mikko Auvinen负责任地向我们披露了这个问题。
报告安全问题
如果你认为你已经发现了一个安全漏洞,请发送报告到security@grafana.com。这个地址可用于Grafana实验室的所有开源和商业产品(包括但不限于Grafana、Grafana Cloud、Grafana Enterprise和grafana.com)。我们只能接受这个地址的漏洞报告。我们希望你能对给我们的信息进行加密,请使用我们的PGP密钥。密钥的指纹是 f988 7bea 027a 049f ae8e 5caa d125 8932 be24 c5ca
该密钥可从keyserver.ubuntu.com获得。
