16/12/2024

Actu Cybersécurité

Vulnérabilité dans Grafana : mettez à jour dès que possible si vous utilisez l’authentification Azure AD

Une mise à jour de sécurité est disponible pour les utilisateurs de Grafana ! Elle corrige une vulnérabilité qui permet à un attaquant de bypasser l'authentification sur une instance Grafana qui s'appuie sur Azure Active Directory pour l'authentification. Faisons le point.

Grafana est un logiciel libre très populaire dont la fonction principale est d'effectuer de la visualisation de données. Par exemple, Grafana peut générer des graphiques ou des tableaux de bord à partir de données stockées dans une base de données. L'application Grafana peut être installée sur votre propre serveur ou utilisée en mode Cloud.

Grafana est impacté par une nouvelle faille de sécurité critique associée à la référence CVE-2023-3128 et un score CVSS v3.1 de 9.4 sur 10. Cette faille de sécurité permet de contourner l'authentification à l'application Grafana lorsque celle-ci s'appuie sur une authentification OAuth via Azure AD.

Dans le bulletin de sécurité officiel, on peut lire : "Grafana valide les comptes Azure Active Directory sur la base de l'email. Sur Azure AD, le champ de l'adresse électronique du profil n'est pas unique pour tous les tenants Azure AD. Cela peut permettre une prise de contrôle du compte Grafana et un contournement de l'authentification lorsque Azure AD OAuth est configuré avec une application Azure AD OAuth multi-tenants." - Cette vulnérabilité permet de prendre le contrôle total du compte en question.

Quelles sont les versions impactées ?

Tout d'abord, il faut savoir que les utilisateurs de Grafana Cloud sont déjà protégés de cette faille de sécurité. Pour ceux qui n'utilisent pas Grafana Cloud, il va falloir passer par une mise à jour puisque toutes les versions de Grafana supérieures à la version 6.7.0 sont impactées.

L'éditeur a mis en ligne des versions patchées pour plusieurs branches. Voici la liste des nouvelles versions :

  • Grafana 10.0.1 (ou supérieure)
  • Grafana 9.5.5 (ou supérieure)
  • Grafana 9.4.13 (ou supérieure)
  • Grafana 9.3.16 (ou supérieure)
  • Grafana 9.2.20 (ou supérieure)
  • Grafana 8.5.27 (ou supérieure)

Si la mise à jour n'est pas envisageable dans l'immédiat sur votre serveur, Grafana recommande de mettre en pratique deux mesures d'atténuation décrites dans le bulletin de sécurité.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.