Lese-Ansicht

Es gibt neue verfügbare Artikel. Klicken Sie, um die Seite zu aktualisieren.

Grafana schließt kritische Sicherheitslücke

Für Grafana, dem freien Tool zur Datenvisualisierung gibt es Patches für die unterschiedlichen Versionszweige. Damit schließen die Entwickler unter anderem zwei Sicherheitslücken, von denen eine als kritisch eingestuft ist.

Bei dem kritischen Sicherheitsproblem (CVE-2023-28119) kann es zu einer Denial-of-Service-Attacke kommen, wenn die Security Assertion Markup Language-Bibliothek (SAML) verwendet wird. Grafana verwende die Bibliothek crewjam/saml für die SAML Integration und diese Bibliothek bringt den Bug mit.

Dabei werde bei der Verwendung von flate.NewReader in crewjam/saml die Größe der Eingabe nicht begrenzt. Der Benutzer könne so mehr als ein MByte Daten in einer HTTP-Anfrage an die Funktionen übergeben, die serverseitig mit dem Deflate-Algorithmus dekomprimiert werden. Nach mehrfacher Wiederholung derselben Anfrage lässt sich so ein zuverlässiger Absturz erreichen, da das Betriebssystem den Prozess beendet, heißt es in der Sicherheitswarnung. Betroffen sind alle Versionen von Grafana Enterprise größer als 7.3.0-beta1.

In der Sicherheitswarnung ist eine weitere Lücke beschrieben. Außerdem sind die Downloads der verschiedenen Versionszweige verlinkt, die gegen das Problem gepatcht sind und weitere Bugs ausbügeln.

Der Beitrag Grafana schließt kritische Sicherheitslücke erschien zuerst auf Linux-Magazin.

Salt Grafana - freies Dashboard für Saltstack Master

Saltstack ist ein Infrastructure as Code Tool zur Automatisierung der Infrastruktur. Je größer die damit automatisierte Infrastruktur, desto schwerer ist es den Überblick über gelaufene oder fehlerhafte States zu behalten oder gar Performancedaten auszuwerten.

Salt Grafana

Mit Salt Grafana ist ein neues freies Tool zur grafischen Darstellung der Abläufe auf dem Salt Master erschienen. Das neue Tool macht bereits vorhandenen Auswertungstools wie Alcali, SaltGUI oder Molton nur teilweise Konkurrenz, da es einen anderen Ansatz nutzt.

Wie der Name schon sagt, steck Grafana mit Loki, Prometheus, Tempo und PostgreSQL dahinter. Dies ermöglicht ein reichlich geschmücktes Dashboard mit verschiedensten Werten vom Salt Master.

dashboard-salt-grafana

Die Architektur dahinter sieht dahingehend auf den ersten Eindruck etwas komplex aus und die Installationsanleitung hat ein paar mehr Punkte zum Abarbeiten.

Dafür steht am Ende eine Reihe an Features zur Verfügung, die unabhängig vom Salt Master genutzt und konfiguriert werden können, egal ob bestimmte Überwachungsmetriken oder Alarmmeldungen.

 

salt-grafana-architecture

Anders als in der Grafik dargestellt, kann natürlich auch Grafana on premise verwendet werden.

Was Salt Grafana noch nicht auswerten kann, sind salt-call Aufrufe mit state.apply oder highstate. Dies könnte aber in kommenden Releases nachgereicht werden. Bis dahin ist das Tool auf jeden Fall einen Blick bzw. eine Testinstallation wert.

 

Download

❌