Geçen hafta CVE-2022-32276 ve CVE-2022-32275, Grafana’yı etkileyen güvenlik açıkları olarak rapor edildi . Bundan önce, bir topluluk üyesi, güvenliği etkilemeyen kullanıcı arabirimi sorunları olarak değerlendirdiğimiz güvenlik açıklarıyla ilgili bir raporla Grafana güvenlik ekibine ulaştı. Yanıt verdik ve o zamandan beri önerilen değişiklikleri izlemek için kamuya açık sorunları dile getirdik
Bu CVE’lerin varlığını, sosyal medyada Grafana’dan bahsetmeleri düzenli olarak taramamızın bir parçası olarak keşfettik ve bunların, özel olarak bildirildiğinde daha önce reddettiğimiz iddialar olduğunu tespit edebildik. Bunların güvenlik açıkları olduğu değerlendirmesini destekleyecek herhangi bir kanıtın bulmuş değiliz ve bu CVE’lerin geçerliliğine itiraz etmek için MITRE ile iletişime geçtik. Özetimiz şöyle:
CVE-2022-32276
İlk CVE (CVE-2022-32276), “Kimliği doğrulanmamış ve kimliği doğrulanmış kullanıcılar, giriş sayfasından geçerek sistem kontrol paneli alanına erişerek, rastgele anahtar parametreleri kullanarak anlık görüntü sorgusu için yanlış bir istek gönderebilir” iddiası.
Buradaki iddia, anlık görüntüler için ‘bulunamadı’ sayfasının giriş sayfasından ziyade Grafana’nın normal kullanıcı arayüzünde bulunmasının bir güvenlik açığı olduğudur.
Grafana, tam ön ucun, kimliği doğrulanmış olsun veya olmasın herhangi bir kullanıcı tarafından kullanılabilir olduğu tek sayfalık bir uygulamadır. Bu sayfayı görüntüleyebilmek, arka ucun kullanıcıya herhangi bir düzeyde ayrıcalıklı erişim sağladığını göstermez. Bu nedenle, bunun bir güvenlik açığı olduğu konusunda hemfikir değiliz. Bununla birlikte, ‘bulunamayan sayfa’nın kafa karıştırıcı bir UX sorunu olduğu ve iyileştirilmesi gerektiği konusunda hemfikiriz ve bunu izlemek için yukarıda atıfta bulunulan sorunu açtık.
CVE-2022-32275
İkinci CVE (CVE-2022-32275), aynı raporun Grafana’nın 404 bulunamadı sayfasının üst ve kenar çubuklarını da gösterdiği, normalde yalnızca oturum açıldığında görülen – hem kimliği doğrulanmış hem de kimliği doğrulanmamış kullanıcılar için – başka bir varyasyonudur.
Yeniden oluşturma adımları, daha önceki bir XSS güvenlik açığına yapılan başvuruları içerir ve “/ etc/ passwd" işletim sistemleri tarafından sistemdeki kullanıcıları listelemek için yaygın olarak kullanılan yola başvurur. Buna rağmen, güvenlik açığının kendisinde ne bir XSS ne de uzaktan dosya erişimi iddiasında bulunulmadığını ve herhangi bir uzaktan dosya erişim güvenlik açığı belirtisinin farkında olmadığımızı belirtmek önemlidir. Bunun da kafa karıştırıcı bir kullanıcı deneyimi olduğuna inanıyoruz ve bunu izlemek için yukarıda atıfta bulunulan sorunu açtık.
Raporunu bizimle ve toplulukla paylaşıldığı içib teşekkür etmek istiyoruz ve yukarıda atıfta bulunulan iki açık GitHub sorunu hakkında genel tartışmayı memnuniyetle karşılıyoruz.
Kaynak: grafana.com
