Grafana Loki aggregiert Log-Daten aus zahlreichen Quellen und kann selbst riesige Datenmengen effizient durchsuchen. In der neuen Major-Version 3.0 hilft dabei ein Bloom-Filter.

Loki aggregiert Log-Daten aus zahlreichen Quellen und kann selbst riesige Datenmengen effizient durchsuchen. In der neuen Major-Version hilft dabei ein Bloom-Filter.

Die neueste Version 10.3 der freien Datenvisualisierungs-Software Grafana bietet erweiterte Steuerelemente für anonymen Zugriff in Grafana-Instanzen.

Für Grafana, dem freien Tool zur Datenvisualisierung gibt es Patches für die unterschiedlichen Versionszweige. Damit schließen die Entwickler unter anderem zwei Sicherheitslücken, von denen eine als kritisch eingestuft ist.

Bei dem kritischen Sicherheitsproblem (CVE-2023-28119) kann es zu einer Denial-of-Service-Attacke kommen, wenn die Security Assertion Markup Language-Bibliothek (SAML) verwendet wird. Grafana verwende die Bibliothek crewjam/saml für die SAML Integration und diese Bibliothek bringt den Bug mit.

Dabei werde bei der Verwendung von flate.NewReader in crewjam/saml die Größe der Eingabe nicht begrenzt. Der Benutzer könne so mehr als ein MByte Daten in einer HTTP-Anfrage an die Funktionen übergeben, die serverseitig mit dem Deflate-Algorithmus dekomprimiert werden. Nach mehrfacher Wiederholung derselben Anfrage lässt sich so ein zuverlässiger Absturz erreichen, da das Betriebssystem den Prozess beendet, heißt es in der Sicherheitswarnung. Betroffen sind alle Versionen von Grafana Enterprise größer als 7.3.0-beta1.

In der Sicherheitswarnung ist eine weitere Lücke beschrieben. Außerdem sind die Downloads der verschiedenen Versionszweige verlinkt, die gegen das Problem gepatcht sind und weitere Bugs ausbügeln.

Der Beitrag Grafana schließt kritische Sicherheitslücke erschien zuerst auf Linux-Magazin.