URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 126120
[ Назад ]
Исходное сообщение
"Уязвимости в Grafana, позволяющие получить доступ к файлам в системе"
Отправлено opennews , 11-Дек-21 12:11 
В  открытой платформе визуализации данных Grafana выявлена уязвимость (CVE-2021-43798), позволяющая выйти за пределы базового каталога и получить доступ к произвольным файлам в локальной файловой системе сервера, насколько это позволяют права доступа пользователя, под которым выполняется Grafana. Проблема вызвана некорректной работой обработчика пути "/public/plugins/‹plugin-id›/", в котором допускалось использование символов ".." для доступа к нижележащим каталогам...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=56329

Содержание
Сообщения в этом обсуждении
"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено Аноним , 11-Дек-21 12:13 
Как хорошо, что почти всё запущено в докере в наши дни. (если конечно, человек не делал -v /:/)
"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено Аноним , 11-Дек-21 12:16 
> если конечно, человек не делал -v /:/

Этот случай обрабатывается SELinux. Если, конечно, девопс не является "не таким как все" и не отключал SELinux. А таких тут много.

"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено Роман , 11-Дек-21 12:51 
они ж selinux apparmor боятся как огня :-)))
"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено Аноним , 11-Дек-21 15:50 
selinux и apparmor несовместимы. Либо одно, либо второе.
"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено InuYasha , 11-Дек-21 18:51 
chmod - resist fire +555
acl - reflect damage 50%
apparmor - resist normal weapons
selinux - absorb magical damage
:)
"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено Онаним , 11-Дек-21 19:44 
power off - invulnerability
"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено onanim , 13-Дек-21 09:39 
процессор и южный мост продолжают работать даже в "выключенном" компьютере:
- man Intel AMT
- man BCM

invulnerability - это выдернуть шнур, выдавить стекло.

"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено Онаним , 13-Дек-21 09:48 
BMC, вы хотели сказать.
Под power off я не shutdown подразумевал, а именно *power* *off*.
"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено Аноним , 12-Дек-21 00:16 
Спасибо кэп
"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено Легивон , 12-Дек-21 09:20 
И как в этих ваших кубирнетисах настраивать SELinux? Если сегодня pod тут, а завтра:daw через 10 минут там.
Есть какой-то оператор который позваляет таскать в манифесках конфиг selinux? Ссылочку не дадите?
"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено Аноним , 11-Дек-21 17:18 
не знаю никого, кто б использовал докер в продуктиве :-)
"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено An0nim0us , 11-Дек-21 18:22 
минимум эти - https://www.cncf.io/certification/software-conformance/
"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено _ , 11-Дек-21 20:21 
>не знаю никого, кто б использовал докер в продуктиве :-)

Люто, неистово завидую :(

"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено SubGun , 12-Дек-21 21:13 
Сочувствую
"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено Онаним , 11-Дек-21 18:28 
> Как хорошо, что почти всё настолько запущено в наши дни

Fixed

"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено КО , 12-Дек-21 05:20 
Как хорошо, что почти всё говно жрут в наши дни (если конечно мозгов нет)
"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено ага , 12-Дек-21 08:35 
щас, кто тебя спрашивать-то будет, есть у тебя мозги или нет? Жри чедали и не выпендривайся!
"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено Онаним , 11-Дек-21 12:18 
Пожал плечами.
Странно ждать от хипстерских поделок чего-то иного.
Не первая дыра, и не последняя.
"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено пох. , 11-Дек-21 13:43 
блин, а мне она когда-то нравилась... ну до впендюривания хромонога внутрь, конечно.

"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено Аноним , 11-Дек-21 13:00 
> использование символов ".." для доступа к нижележащим каталогам.

Я всегда считал, что это «верхлежащие» каталоги, мы же поднимаемся вверх, выходим из каталога.

"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено Аноним , 11-Дек-21 13:31 
В таком случае предлагаю тебе взобраться "вверх" на дерево до самого... корня ("/", root).
"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено Аноним , 11-Дек-21 14:22 
Приложение выполнило недопустимую операцию и будет закрыто.  
"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено InuYasha , 11-Дек-21 17:24 
Приложение закрыло недопустимую операцию и будет выполнено. - java
"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено Урри , 11-Дек-21 15:10 
У вас корень ФС внизу? О_О
А ls "." тоже снизу вверх показывает?

А tree что выводит? Вот такое?

    ┌── 80alsa -> ../scripts.d/alsa
┌── suspend.d
│   ┌── alsa
├── scripts.d
│   ┌── 20alsa -> ../scripts.d/alsa
├── resume.d
├── event.d
.

А как вы этого добились?

"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено Аноним , 11-Дек-21 16:20 
Планшет переверни =)
"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено Аноним , 11-Дек-21 22:50 
У него датчик ориентации - его такими трюками не обманешь.
"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено vitalif , 11-Дек-21 18:07 
Ну дерево же, значит должно расти вверх, тянуться к солнцу))
"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено Аноним , 11-Дек-21 22:50 
А если в Австралии?
"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено Ordu , 11-Дек-21 17:19 
Дональд Кнут в TAOCP прикалывался над тем, что информатики рисуют деревья корнями вверх. То есть взбираясь по дереву наверх, ты ползёшь к корню. И это хорошо так закрепилось в терминологии. В частности и в файловой системе выбираясь наверх из кучи вложенных директорий, ты выбираешься _наверх_.
"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено Корец , 11-Дек-21 13:09 
>/public/plugins/prometheus/../../../../../../../../etc/passwd

Интересно, а есть ли какой-нибудь справочник типовых ошибок?
Просто подобные уязвимости встречаются довольно часто. Было бы неплохо, если бы был некий справочник, по которому потом можно будет сделать набор тестов, чтоб не допускать "детских" ошибок.

"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено мое правило , 11-Дек-21 13:37 
Не поможет. Обычно такие баги появляются "о, я тут придумал штуку, щас быстренько прилеплю", и даже тестов нормальных не пишут.
"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено Онаним , 11-Дек-21 13:41 
И никакие поперечные юнит-тесты их не спасли...
Даже если у тебя тестами покрыто 100% кода, от misuse этого кода тесты не спасают.
"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено Аноним , 11-Дек-21 14:25 
Значит ты еще и покрытие кода тестами неправильно посчитал. Это вон из профессии я считаю.  
"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено Онаним , 11-Дек-21 18:26 
Покрытие кода тестами и покрытие кейсов тестами - две большие разницы.
В современном говнокодинге ориентируются именно на первое.
А количество кейсов в мало-мальски сложных проектах стремится к бесконечности.
"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено Аноним , 11-Дек-21 17:26 
Я такие "дырки" специально оставлял пару раз :) Естественно, не будет никаких зафейленных тестов, если "уязвимость" оставлена намеренно.
"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено macfaq , 11-Дек-21 14:22 
OWASP Top 10.
"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено пох. , 11-Дек-21 13:42 
полез проверить - филенотфоунд. Что за херня? А-а-а-а, это ж только в моднявой 8.0 додумались, я снова ср-ный неудачник.

В общем-то все понятно было ровно с момента, когда они притащили в графану (в общем-то копеечный код умеющий ровно рисовать картинки и более ничего) - целиком хромонога потому что ниасиляторы.

Похоже, попутно еще много чего нужного и полезного притащили, вот, к примеру, нескучный обработчик ../ в путях. Интересно, куда девали предыдущих разработчиков.

"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено Aa , 11-Дек-21 14:08 
Что такое - хромоног?
"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено Аноним , 11-Дек-21 14:24 
В данном контексте безголовый хром.  
"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено нах.. , 11-Дек-21 22:29 
Проходите дальше, не задерживайтесь.
"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено asand3r , 12-Дек-21 12:51 
Я тоже не понял.
"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено Онаним , 11-Дек-21 18:27 
Все предыдущие обработчики ../ в путях уволились.
"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено Михрютка , 11-Дек-21 22:58 
>>> я снова ср-ный неудачник.

не огорчайтесь так, для вас все еще остается log4j

"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено пох. , 12-Дек-21 08:38 
Это не для нас, это для оправдания своей немаленькой зарплаты и при этом чтоб ничего не делать (сделать-то все равно ничего нельзя, ты не факт что даже знаешь что там ипользуется в этих купленных за миллионы деньгов копропротивных системах, и тем более ничего не можешь поправить)

А СВОИХ программ на жабе у меня только ldap browser - и там нет log4j, он вообще немодный.

"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено Аноним , 12-Дек-21 18:23 
> В общем-то все понятно было ровно с момента, когда они притащили в графану (в общем-то копеечный код умеющий ровно рисовать картинки и более ничего) - целиком хромонога потому что ниасиляторы.

Что ж ты не прислал патч и не показал как надо? Копеечный код же. Ах, ну да, ты же только на опеннете можешь ляссы точить.

"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено пох. , 12-Дек-21 23:09 
Прислал. Имени Бармина. У меня нет и не будет нигде использоваться графана от таких альтернативно-одаренных, которым ради статичной картинки с собственного движка скопированной - нужен - хромоног.

И, как видишь, я не ошибся.
А вот незадачливые коллеги взгромоздившие себе восьмую сами не зная зачем "паследнюю-паследнюю, патамуштанада" - в пятницу чегой-та прыгали и судорожно апгрейдились.

> Ах, ну да, ты же только на опеннете можешь ляссы точить.

ты-то уже пять графан написал? Или нет, ты на такие мелочи не размениваешься, каждый день новый гугль пишешь?

А мне за каждой обезьянкой, не сумевшей в жопоскрипт (ага) лужицы подтирать - остатка жизни уже не хватит. Да и прожить ее хотелось бы совершенно иначе.

"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено Аноним , 11-Дек-21 16:00 
Декада хипстоты потихоньку уходит в небытие. Интересно, кто же их заменит...
"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено Аноним , 11-Дек-21 16:24 
Они не уходят, а подростают из ВАЙТИШНИКОВ в ой б$% ну вас нах% пойду лучше дизайном заниматься.
Или ну ок пойду получать профильное образование раз говнолепно делаю все.

Вот и подрастает очередное поколение которое будет на навне с нами обнулять заслуги молдоых.


Кастуйте новое название для них. Что там сейчас Манкрафтеры?

"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено Аноним , 11-Дек-21 16:38 
>Кастуйте новое название для них. Что там сейчас Манкрафтеры?

чем "пориджы" не устраивает?

"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено Ananimasss , 12-Дек-21 09:15 
Вообще говоря поридж - это не обязательно молодой.
Это просто недалекий, падкий до броских названий и захранишного. Просто среди школоты таких больше.

"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено Аноним , 11-Дек-21 23:32 
Раньше были формошлёпами для делфи, потом формошлёпы для пхп, так что формошлёпами пусть и остаются. Тут видь главное, что красиво, с рамочками, графиками, подсветочкой
"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено YetAnotherOnanym , 11-Дек-21 20:36 
У приличных людей все эти "../" обрабатываются пока оно ещё URL, и только потом то, что получится, маппится в локальный ресурс или обработчик.
"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено Аноним , 11-Дек-21 22:58 
Дак вот кто сидел в апаче и приделывал там костыли! А потом получили очередную дыру - точки были заенкодены... Потом - дважды енкодены...
"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено YetAnotherOnanym , 12-Дек-21 01:07 
Эээ... Я, вообще-то, не про Апач.
Кстати, а в чём проблема - декодить в цикле (как завещал великий Дийкстра) пока оно не перестанет изменяться? И только после этого пройти по пути URL'а?
"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено пох. , 12-Дек-21 08:42 
в том же самом проблема, что и использовать универсальный парсер url для ненужного ненужно ldap:// эмбеднутого в нескучный логгер.

Никогда не знаешь, где немножечко-немножечко лажанешь если не ты сам, то кто-то использующий этот твой код.

Поэтому никаких декодингов в цикле. После одного, ровно одного прохода - фильтрация левых символов, нормализация, и 404 notfound или вообще 444.

Ну это если тебя волнует безопасность, а не conformance высосанным из пальца теоретиками (потому что в 80 лет уже нельзя быть практиком, а нехилую зарплату хочется, таблеточки дороги) стандартам.

"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено YetAnotherOnanym , 12-Дек-21 23:04 
> Поэтому никаких декодингов в цикле. После одного, ровно одного прохода - фильтрация
> левых символов, нормализация, и 404 notfound или вообще 444.

Ну, или так. В любом случае, чтобы, после декодинга (однократного или до победного конца) никакие закодированные символы не распознавались (неважно, из-за отсутствия или из-за запрета им быть).

"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено Аноним , 12-Дек-21 05:10 
А как зарубить ../ в том же nginx? Эти точечки никлому не упали
"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено Ananimasss , 12-Дек-21 09:20 
А зойчем, при настроенных правах ничего интересного ты от ввв не прочтешь.
А если еще оно крутится-вертится в тюрячках, как и должно, то совсем мало чего интересного.
"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено пох. , 12-Дек-21 14:59 
"Крайне мало [интересного] известно о зомби-снежном человеке. Кроме его социального номера, адреса, возраста, любимого кушанья..."

Вот например, прекрасно получается /etc/passwd - что дает прекрасную информацию как минимум о наличии персональных учеток. А то и других уязвимых сервисов.

> А если еще оно крутится-вертится в тюрячках, как и должно

нет, дружище, никому оно ничего не должно - кривые костыли и подпорки должны оставаться кривыми костылями и подпорками, когда на наличие у пациентов разума надежды уже не осталось. Если софт требует запуска в дальнем секторе полигона - ну его нахрен такой софт вообще запускать.

"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено Аноним , 12-Дек-21 18:26 
> Вот например, прекрасно получается /etc/passwd - что дает прекрасную информацию как минимум о наличии персональных учеток. А то и других уязвимых сервисов.

Персональные учётки на серверах? Админ локалхоста детектед.

"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено Онаним , 12-Дек-21 18:33 
А куда деваться с серверов от персональных учёток?
Или вы предпочитаете один рут на весь зоопарк из 5 отделов?
Или может быть централизованный сервер конфигураций (заодно вместе со СКУДами, по недавнему примеру), при взломе которого положат всю вашу инфраструктуру целиком, и при падении которого вы даже дверь в серверную не откроете?
"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено пох. , 12-Дек-21 18:57 
> А куда деваться с серверов от персональных учёток?

девляпс подход, у них всегда так. Все ключи от всего в etcd. А потом - ой дверь не открывается. Жаль что снаружи, и фреон не подали как положено.

Впрочем, "один рут" тоже бывает. При увольнении очередного "рута" или продолбе его доступа при этом подходе происходит много всего интересного (причем независимо от того как именно этот рутовый доступ был устроен), но наблюдать за б-ским цирком лучше с безопасного расстояния.

Это ведь гораздо забавнее чем просто заблокировать именную учетку.

"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено пох. , 12-Дек-21 18:53 
точна, девляпсы с миллиардами серверов-то всегда рутом ходют.

(ну а кто наcpaл в лифте при этом определяют по запаху, логи ведь тоже нинуна и их нет, а если и есть то там рут)

"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено Онаним , 12-Дек-21 18:36 
А если учесть что девляпсы любят в этих тюрячках пароли от редисок забывать...
"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено пох. , 12-Дек-21 18:58 
> А если учесть что девляпсы любят в этих тюрячках пароли от редисок
> забывать...

а что, там еще и пароль был?!

"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено Онаним , 12-Дек-21 20:19 
Ну это да, шутка юмора была такая.
Но суть та :D
"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено Аноним , 12-Дек-21 09:21 
Всё просто берешь исходники и правишь их.  
"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено пох. , 12-Дек-21 15:38 
Угу, у тебя ж бесконечная жизнь и кряк на бесконечные деньги.

Ты можешь поправить вообще всё. Жаль, что почему-то пока нет.

"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено SubGun , 12-Дек-21 21:25 
> А как зарубить ../ в том же nginx? Эти точечки никлому не упали

Я вообще удивлен, что в 2021 году веб-серверы еще обрабатывают "../" в URL.

"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено Wilem82 , 12-Дек-21 08:13 
А всё потому, что часть стандартной библиотеки по работе с путями в го - имя-языка-вно. Писали бы на расте, не знали бы проблем.
"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено Аноним , 12-Дек-21 09:19 
Писали бы на расте и была бы еще дна проблема под названием раст. Вот Хасекль это дело.  
"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено Онаним , 12-Дек-21 10:55 
Что самое интересное - пиши это дело PHP'шники, и такого говна не было бы.

Потому что в мире PHP все эти проблемы с ../ и многим прочим уже 100500100500 раз обсосаны и известны каждому школьнику, а не валидировать самостоятельно пользовательский ввод, надеясь на библиотеки, уже рискуют всего лишь 2 из 3 студентов. Моднявчикам же по этим граблям ещё предстоит походить основательно, они просто пока относительно неуловимый Джо, поэтому их не трогают.

"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено anonymous , 13-Дек-21 12:27 
Язык и данная проблема -- вещи ортогональные. А если говорить про культуру, то, мне кажется, на PHP как раз такие ошибки допускают чаще всего. Кстати, под Go, вроде был linter, который находил такие проблемы.
"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено Онаним , 13-Дек-21 14:33 
А тут не в языке дело, а в специфике, связанной с окружением языка.
"Уязвимости в Grafana, позволяющие получить доступ к файлам в..."
Отправлено пох. , 12-Дек-21 15:01 
да никакой проблемы - нет кода, нет уязвимостей. Хаскель, конечно, надежнее.