개요
Grafana Labs(https://grafana.com/) 에서는 공급한 제품의 취약점을 해결하는 보안 업데이트를 발표하였습니다. 해당하는 제품 사용자는 최신 버전으로 업데이트 하시기 바랍니다.
대상 제품
CVE-2024-9264
- Grafana 버전: 11.X
해결된 취약점
Grafana의 SQL Expressions 실험적 기능에서 사용자 입력이 충분히 검증되지 않은 상태로 duckdb 쿼리에 전달되어 발생할 수 있는 명령어 삽입 및 로컬 파일 포함 취약점(CVE-2024-9264)
취약점 패치
최신 업데이트를 통해 취약점 패치가 제공되었습니다. 참고 사이트의 안내에 따라 최신 취약점 패치 버전으로 업데이트 하시기 바랍니다.
CVE-2024-9264
보안 패치만 적용할 경우
- Grafana 버전: Release 11.0.5+security-01
- Grafana 버전: Release 11.1.6+security-01
- Grafana 버전: Release 11.2.1+security-01
Grafana의 최신 버전(10월 1일 출시) 업그레이드 후 보안 패치를 적용할 경우
- Grafana 버전: Release 11.0.6+security-01
- Grafana 버전: Release 11.1.7+security-01
- Grafana 버전: Release 11.2.2+security-01
참고 사이트
[1] CVE-2024-9264 Detail
https://nvd.nist.gov/vuln/detail/CVE-2024-9264
[2] Grafana security release: Critical severity fix for CVE-2024-9264