Vulnérabilité dans Grafana : mettez à jour dès que possible si vous utilisez l’authentification Azure AD
Une mise à jour de sécurité est disponible pour les utilisateurs de Grafana ! Elle corrige une vulnérabilité qui permet à un attaquant de bypasser l'authentification sur une instance Grafana qui s'appuie sur Azure Active Directory pour l'authentification. Faisons le point.
Grafana est un logiciel libre très populaire dont la fonction principale est d'effectuer de la visualisation de données. Par exemple, Grafana peut générer des graphiques ou des tableaux de bord à partir de données stockées dans une base de données. L'application Grafana peut être installée sur votre propre serveur ou utilisée en mode Cloud.
Grafana est impacté par une nouvelle faille de sécurité critique associée à la référence CVE-2023-3128 et un score CVSS v3.1 de 9.4 sur 10. Cette faille de sécurité permet de contourner l'authentification à l'application Grafana lorsque celle-ci s'appuie sur une authentification OAuth via Azure AD.
Dans le bulletin de sécurité officiel, on peut lire : "Grafana valide les comptes Azure Active Directory sur la base de l'email. Sur Azure AD, le champ de l'adresse électronique du profil n'est pas unique pour tous les tenants Azure AD. Cela peut permettre une prise de contrôle du compte Grafana et un contournement de l'authentification lorsque Azure AD OAuth est configuré avec une application Azure AD OAuth multi-tenants." - Cette vulnérabilité permet de prendre le contrôle total du compte en question.
Quelles sont les versions impactées ?
Tout d'abord, il faut savoir que les utilisateurs de Grafana Cloud sont déjà protégés de cette faille de sécurité. Pour ceux qui n'utilisent pas Grafana Cloud, il va falloir passer par une mise à jour puisque toutes les versions de Grafana supérieures à la version 6.7.0 sont impactées.
L'éditeur a mis en ligne des versions patchées pour plusieurs branches. Voici la liste des nouvelles versions :
- Grafana 10.0.1 (ou supérieure)
- Grafana 9.5.5 (ou supérieure)
- Grafana 9.4.13 (ou supérieure)
- Grafana 9.3.16 (ou supérieure)
- Grafana 9.2.20 (ou supérieure)
- Grafana 8.5.27 (ou supérieure)
Si la mise à jour n'est pas envisageable dans l'immédiat sur votre serveur, Grafana recommande de mettre en pratique deux mesures d'atténuation décrites dans le bulletin de sécurité.