Grafana: Διορθώνει ευπάθειες στο Image Renderer plugin
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Grafana: Διορθώνει ευπάθειες στο Image Renderer plugin
https://www.secnews.gr/652945/grafana-diorthonei-eupatheies-image-renderer-plugin/
Jul 4th 2025, 09:59
by Digital Fortress
Η Grafana Labs κυκλοφόρησε κρίσιμες ενημερώσεις ασφαλείας για δύο βασικά της εργαλεία —το Grafana Image Renderer plugin και το Synthetic Monitoring Agent— αντιμετωπίζοντας τέσσερις επικίνδυνες ευπάθειες Chromium.
Αν και οι ευπάθειες είχαν αρχικά διορθωθεί από το open-source project Chromium δύο εβδομάδες νωρίτερα, η πραγματική τους εκμετάλλευση σε περιβάλλοντα Grafana ανακαλύφθηκε και αναφέρθηκε από τον ερευνητή ασφαλείας Alex Chapman, στο πλαίσιο bug bounty προγράμματος.
Δείτε επίσης: Κινέζοι hackers στοχεύουν τη Γαλλία μέσω zero-day ευπαθειών Ivanti
Η εταιρεία χαρακτήρισε την αναβάθμιση ως "έκδοση ασφαλείας κρίσιμης σοβαρότητας" και καλεί όλους τους χρήστες να εφαρμόσουν άμεσα τις σχετικές διορθώσεις, που καλύπτουν τα εξής τρωτά σημεία:
• CVE-2025-5959 (βαθμολογία 8.8): Type confusion bug σε V8 JavaScript και WebAssembly engine. Επιτρέπει απομακρυσμένη εκτέλεση κώδικα σε sandbox, μέσω ειδικά κατασκευασμένης HTML σελίδας.
• CVE-2025-6554 (βαθμολογία 8.1): Παρόμοιο σφάλμα στο V8, που επιτρέπει memory read/write μέσω κακόβουλου HTML page.
• CVE-2025-6191 (βαθμολογία 8,8): Integer overflow στο V8. Επιτρέπει out-of-bounds memory access, οδηγώντας ενδεχομένως σε εκτέλεση κώδικα.
• CVE-2025-6192 (βαθμολογία 8.8): Ευπάθεια τύπου use-after-free στο Metrics component του Chrome μπορεί να επιτρέψει heap corruption και δυνητική εκμετάλλευση μέσω HTML.
Οι ευπάθειες επηρεάζουν:
• Grafana Image Renderer plugin έως και την έκδοση 3.12.8
• Synthetic Monitoring Agent έως και την έκδοση 0.38.2
Δείτε επίσης: Η CISA προειδοποιεί για δύο νέες ευπάθειες TeleMessage
Το Grafana Image Renderer αποτελεί θεμελιώδες εργαλείο σε production environments, ειδικά για scheduled email reports και third-party integrations. Παρότι δεν συνοδεύει την εγκατάσταση Grafana από προεπιλογή, το plugin συντηρείται επισήμως και έχει καταγράψει εκατομμύρια downloads.
Από την άλλη, ο Synthetic Monitoring Agent αποτελεί μέρος της πλατφόρμας Grafana Cloud και απευθύνεται σε επιχειρήσεις με σύνθετες υποδομές, απαιτήσεις για custom probe locations, low-latency, high-visibility checks καθώς και για επιχειρήσεις με υβριδική ή multi-cloud υποδομή, που χρειάζονται synthetic tests πίσω από τείχη προστασίας.
Οδηγίες Αναβάθμισης
• Για το Grafana Image Renderer plugin: χρησιμοποιήστε την εντολή: grafana-cli plugins install grafana-image-renderer . Για container installations, χρησιμοποιήστε: docker pull grafana/grafana-image-renderer:3.12.9
• Για το Synthetic Monitoring Agent: Η τελευταία έκδοση μπορεί να ληφθεί από το GitHub. Για container upgrade, χρησιμοποιήστε: docker pull grafana/synthetic-monitoring-agent:v0.38.3-browser.
Η Grafana Labs συνιστά την άμεση ενημέρωση για την προστασία των συστημάτων από πιθανές εκμεταλλεύσεις, ειδικά σε περιβάλλοντα υψηλής αξίας.
Παράλληλα, η Grafana Labs διαβεβαιώνει ότι τα Grafana Cloud και Azure Managed Grafana instances έχουν ήδη ενημερωθεί, επομένως οι χρήστες δεν απαιτείται να προβούν σε καμία ενέργεια.
Δείτε επίσης: Κρίσιμη ευπάθεια σε πρόσθετο WordPress εκθέτει πάνω από 600.000 sites
Ωστόσο, το ζήτημα της καθυστέρησης στις ενημερώσεις παραμένει ανησυχητικό. Σύμφωνα με σχετική αναφορά της Ox Security, περισσότεροι από 46,000 instances παρέμειναν ευάλωτα σε κρίσιμο κενό ασφαλείας που επέτρεπε κατάληψη λογαριασμών, παρά τη διάθεση σχετικού patch από τον Μάιο. Το εύρημα αναδεικνύει τα χαμηλά αντανακλαστικά της κοινότητας σε περιπτώσεις έκτακτων επιδιορθώσεων.
Σε δήλωσή της στο BleepingComputer, η Grafana Labs υπογράμμισε την άμεση αντίδρασή της στα ευρήματα:
"Η ασφάλεια είναι μια συνεχής και συνεργατική διαδικασία και ενεργήσαμε γρήγορα για να μετριάσουμε αυτά τα τρωτά σημεία τρίτων μόλις αποκαλύφθηκαν. Μόλις ενημερωθήκαμε για τα προβλήματα που σχετίζονται με το Chromium, μέσω του προγράμματος bug bounty, δώσαμε προτεραιότητα στις ενημερώσεις για τα επηρεαζόμενα στοιχεία, εκδώσαμε ενημερώσεις κώδικα σε όλες τις επηρεαζόμενες υπηρεσίες Grafana Cloud και συνεργαστήκαμε στενά με τους συνεργάτες μας για διαχειριζόμενες υπηρεσίες για να διασφαλίσουμε την πλήρη κάλυψη. Ενώ αυτά τα CVE προέρχονται από τη βιβλιοθήκη Chromium, λαμβάνουμε σοβαρά υπόψη την ευθύνη μας απέναντι στην κοινότητα και τους πελάτες μας και ενθαρρύνουμε όλους τους χρήστες να ενημερώσουν αμέσως".
Η κατάσταση λειτουργεί ως καμπανάκι κινδύνου: ακόμα και όταν ο vendor κάνει "το σωστό", η πραγματική ασφάλεια εξαρτάται από την ταχύτητα με την οποία οι τελικοί χρήστες ενημερώνουν τα συστήματά τους. Παράλληλα, είναι ένα καλό παράδειγμα για το πώς οι εταιρείες που λειτουργούν σε open source περιβάλλον πρέπει να χειρίζονται κρίσεις — με διαφάνεια, τεχνική επάρκεια και συνεργασία.
Πηγή: www.bleepingcomputer.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Grafana: Διορθώνει ευπάθειες στο Image Renderer plugin
https://www.secnews.gr/652945/grafana-diorthonei-eupatheies-image-renderer-plugin/
Jul 4th 2025, 09:59
by Digital Fortress
Η Grafana Labs κυκλοφόρησε κρίσιμες ενημερώσεις ασφαλείας για δύο βασικά της εργαλεία —το Grafana Image Renderer plugin και το Synthetic Monitoring Agent— αντιμετωπίζοντας τέσσερις επικίνδυνες ευπάθειες Chromium.
Αν και οι ευπάθειες είχαν αρχικά διορθωθεί από το open-source project Chromium δύο εβδομάδες νωρίτερα, η πραγματική τους εκμετάλλευση σε περιβάλλοντα Grafana ανακαλύφθηκε και αναφέρθηκε από τον ερευνητή ασφαλείας Alex Chapman, στο πλαίσιο bug bounty προγράμματος.
Δείτε επίσης: Κινέζοι hackers στοχεύουν τη Γαλλία μέσω zero-day ευπαθειών Ivanti
Η εταιρεία χαρακτήρισε την αναβάθμιση ως "έκδοση ασφαλείας κρίσιμης σοβαρότητας" και καλεί όλους τους χρήστες να εφαρμόσουν άμεσα τις σχετικές διορθώσεις, που καλύπτουν τα εξής τρωτά σημεία:
• CVE-2025-5959 (βαθμολογία 8.8): Type confusion bug σε V8 JavaScript και WebAssembly engine. Επιτρέπει απομακρυσμένη εκτέλεση κώδικα σε sandbox, μέσω ειδικά κατασκευασμένης HTML σελίδας.
• CVE-2025-6554 (βαθμολογία 8.1): Παρόμοιο σφάλμα στο V8, που επιτρέπει memory read/write μέσω κακόβουλου HTML page.
• CVE-2025-6191 (βαθμολογία 8,8): Integer overflow στο V8. Επιτρέπει out-of-bounds memory access, οδηγώντας ενδεχομένως σε εκτέλεση κώδικα.
• CVE-2025-6192 (βαθμολογία 8.8): Ευπάθεια τύπου use-after-free στο Metrics component του Chrome μπορεί να επιτρέψει heap corruption και δυνητική εκμετάλλευση μέσω HTML.
Οι ευπάθειες επηρεάζουν:
• Grafana Image Renderer plugin έως και την έκδοση 3.12.8
• Synthetic Monitoring Agent έως και την έκδοση 0.38.2
Δείτε επίσης: Η CISA προειδοποιεί για δύο νέες ευπάθειες TeleMessage
Το Grafana Image Renderer αποτελεί θεμελιώδες εργαλείο σε production environments, ειδικά για scheduled email reports και third-party integrations. Παρότι δεν συνοδεύει την εγκατάσταση Grafana από προεπιλογή, το plugin συντηρείται επισήμως και έχει καταγράψει εκατομμύρια downloads.
Από την άλλη, ο Synthetic Monitoring Agent αποτελεί μέρος της πλατφόρμας Grafana Cloud και απευθύνεται σε επιχειρήσεις με σύνθετες υποδομές, απαιτήσεις για custom probe locations, low-latency, high-visibility checks καθώς και για επιχειρήσεις με υβριδική ή multi-cloud υποδομή, που χρειάζονται synthetic tests πίσω από τείχη προστασίας.
Οδηγίες Αναβάθμισης
• Για το Grafana Image Renderer plugin: χρησιμοποιήστε την εντολή: grafana-cli plugins install grafana-image-renderer . Για container installations, χρησιμοποιήστε: docker pull grafana/grafana-image-renderer:3.12.9
• Για το Synthetic Monitoring Agent: Η τελευταία έκδοση μπορεί να ληφθεί από το GitHub. Για container upgrade, χρησιμοποιήστε: docker pull grafana/synthetic-monitoring-agent:v0.38.3-browser.
Η Grafana Labs συνιστά την άμεση ενημέρωση για την προστασία των συστημάτων από πιθανές εκμεταλλεύσεις, ειδικά σε περιβάλλοντα υψηλής αξίας.
Παράλληλα, η Grafana Labs διαβεβαιώνει ότι τα Grafana Cloud και Azure Managed Grafana instances έχουν ήδη ενημερωθεί, επομένως οι χρήστες δεν απαιτείται να προβούν σε καμία ενέργεια.
Δείτε επίσης: Κρίσιμη ευπάθεια σε πρόσθετο WordPress εκθέτει πάνω από 600.000 sites
Ωστόσο, το ζήτημα της καθυστέρησης στις ενημερώσεις παραμένει ανησυχητικό. Σύμφωνα με σχετική αναφορά της Ox Security, περισσότεροι από 46,000 instances παρέμειναν ευάλωτα σε κρίσιμο κενό ασφαλείας που επέτρεπε κατάληψη λογαριασμών, παρά τη διάθεση σχετικού patch από τον Μάιο. Το εύρημα αναδεικνύει τα χαμηλά αντανακλαστικά της κοινότητας σε περιπτώσεις έκτακτων επιδιορθώσεων.
Σε δήλωσή της στο BleepingComputer, η Grafana Labs υπογράμμισε την άμεση αντίδρασή της στα ευρήματα:
"Η ασφάλεια είναι μια συνεχής και συνεργατική διαδικασία και ενεργήσαμε γρήγορα για να μετριάσουμε αυτά τα τρωτά σημεία τρίτων μόλις αποκαλύφθηκαν. Μόλις ενημερωθήκαμε για τα προβλήματα που σχετίζονται με το Chromium, μέσω του προγράμματος bug bounty, δώσαμε προτεραιότητα στις ενημερώσεις για τα επηρεαζόμενα στοιχεία, εκδώσαμε ενημερώσεις κώδικα σε όλες τις επηρεαζόμενες υπηρεσίες Grafana Cloud και συνεργαστήκαμε στενά με τους συνεργάτες μας για διαχειριζόμενες υπηρεσίες για να διασφαλίσουμε την πλήρη κάλυψη. Ενώ αυτά τα CVE προέρχονται από τη βιβλιοθήκη Chromium, λαμβάνουμε σοβαρά υπόψη την ευθύνη μας απέναντι στην κοινότητα και τους πελάτες μας και ενθαρρύνουμε όλους τους χρήστες να ενημερώσουν αμέσως".
Η κατάσταση λειτουργεί ως καμπανάκι κινδύνου: ακόμα και όταν ο vendor κάνει "το σωστό", η πραγματική ασφάλεια εξαρτάται από την ταχύτητα με την οποία οι τελικοί χρήστες ενημερώνουν τα συστήματά τους. Παράλληλα, είναι ένα καλό παράδειγμα για το πώς οι εταιρείες που λειτουργούν σε open source περιβάλλον πρέπει να χειρίζονται κρίσεις — με διαφάνεια, τεχνική επάρκεια και συνεργασία.
Πηγή: www.bleepingcomputer.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz