Mit einem Security-Release stopfen die Macher von Grafana eine kritische Sicherheitslücke. Über die war es möglich, Befehle auszuführen und auf Dateien zuzugreifen.

Grafana Loki aggregiert Log-Daten aus zahlreichen Quellen und kann selbst riesige Datenmengen effizient durchsuchen. In der neuen Major-Version 3.0 hilft dabei ein Bloom-Filter.

Loki aggregiert Log-Daten aus zahlreichen Quellen und kann selbst riesige Datenmengen effizient durchsuchen. In der neuen Major-Version hilft dabei ein Bloom-Filter.

Die neueste Version 10.3 der freien Datenvisualisierungs-Software Grafana bietet erweiterte Steuerelemente für anonymen Zugriff in Grafana-Instanzen.

Für Grafana, dem freien Tool zur Datenvisualisierung gibt es Patches für die unterschiedlichen Versionszweige. Damit schließen die Entwickler unter anderem zwei Sicherheitslücken, von denen eine als kritisch eingestuft ist.

Bei dem kritischen Sicherheitsproblem (CVE-2023-28119) kann es zu einer Denial-of-Service-Attacke kommen, wenn die Security Assertion Markup Language-Bibliothek (SAML) verwendet wird. Grafana verwende die Bibliothek crewjam/saml für die SAML Integration und diese Bibliothek bringt den Bug mit.

Dabei werde bei der Verwendung von flate.NewReader in crewjam/saml die Größe der Eingabe nicht begrenzt. Der Benutzer könne so mehr als ein MByte Daten in einer HTTP-Anfrage an die Funktionen übergeben, die serverseitig mit dem Deflate-Algorithmus dekomprimiert werden. Nach mehrfacher Wiederholung derselben Anfrage lässt sich so ein zuverlässiger Absturz erreichen, da das Betriebssystem den Prozess beendet, heißt es in der Sicherheitswarnung. Betroffen sind alle Versionen von Grafana Enterprise größer als 7.3.0-beta1.

In der Sicherheitswarnung ist eine weitere Lücke beschrieben. Außerdem sind die Downloads der verschiedenen Versionszweige verlinkt, die gegen das Problem gepatcht sind und weitere Bugs ausbügeln.

Der Beitrag Grafana schließt kritische Sicherheitslücke erschien zuerst auf Linux-Magazin.

Saltstack ist ein Infrastructure as Code Tool zur Automatisierung der Infrastruktur. Je größer die damit automatisierte Infrastruktur, desto schwerer ist es den Überblick über gelaufene oder fehlerhafte States zu behalten oder gar Performancedaten auszuwerten.

Salt Grafana

Mit Salt Grafana ist ein neues freies Tool zur grafischen Darstellung der Abläufe auf dem Salt Master erschienen. Das neue Tool macht bereits vorhandenen Auswertungstools wie Alcali, SaltGUI oder Molton nur teilweise Konkurrenz, da es einen anderen Ansatz nutzt.

Wie der Name schon sagt, steck Grafana mit Loki, Prometheus, Tempo und PostgreSQL dahinter. Dies ermöglicht ein reichlich geschmücktes Dashboard mit verschiedensten Werten vom Salt Master.

Die Architektur dahinter sieht dahingehend auf den ersten Eindruck etwas komplex aus und die Installationsanleitung hat ein paar mehr Punkte zum Abarbeiten.

Dafür steht am Ende eine Reihe an Features zur Verfügung, die unabhängig vom Salt Master genutzt und konfiguriert werden können, egal ob bestimmte Überwachungsmetriken oder Alarmmeldungen.

Anders als in der Grafik dargestellt, kann natürlich auch Grafana on premise verwendet werden.

Was Salt Grafana noch nicht auswerten kann, sind salt-call Aufrufe mit state.apply oder highstate. Dies könnte aber in kommenden Releases nachgereicht werden. Bis dahin ist das Tool auf jeden Fall einen Blick bzw. eine Testinstallation wert.

Für die adminForge Mastodon Instanz kanoa.de habe ich vor kurzem ein Grafana Dashboard erstellt. In dieser Anleitung möchte ich euch zeigen, welche Tools ihr benötigt um das Dashboard bei eurer Mastodon Instanz ans laufen...

by adminForge.