engineering on Grafana Labs
·
Grafana Alloy 和 Grafana Agent Flow 安全更新:修复 CVE-2024-8975 和 CVE-2024-8996 的高严重性漏洞
💡
原文英文,约700词,阅读约需3分钟。
📝
内容提要
Grafana发布了Alloy v1.4.0和v1.3.3,修复了影响Windows安装的CVE-2024-8975漏洞,可能导致本地用户权限提升。Grafana Agent v0.43.2也解决了Flow模式下的CVE-2024-8996问题。建议卸载并重新安装受影响版本或手动修改注册表路径。漏洞报告于2024年9月17日,修复于9月25日发布。
🎯
关键要点
- Grafana发布了Alloy v1.4.0和v1.3.3,修复了CVE-2024-8975漏洞。
- CVE-2024-8975是一个高危漏洞,影响Grafana Alloy的Windows安装。
- Grafana Agent v0.43.2解决了Flow模式下的CVE-2024-8996问题。
- 建议卸载并重新安装受影响版本,简单更新无法解决问题。
- CVE-2024-8975漏洞允许本地用户在Windows机器上提升权限。
- 受影响的版本包括所有v1.3.3之前的Grafana Alloy版本。
- 解决方案包括干净安装Grafana Alloy或手动修改注册表路径。
- CVE-2024-8996漏洞同样允许本地用户在Windows机器上提升权限。
- 受影响的版本包括所有v0.43.2之前的Grafana Agent Flow版本。
- Grafana Labs提供了报告安全问题的渠道,并要求在漏洞修复前不要公开漏洞信息。
- Grafana会在其博客上发布安全公告,提供补救和缓解措施的详细信息。
❓
延伸问答
CVE-2024-8975漏洞的影响是什么?
CVE-2024-8975漏洞允许本地用户在安装Grafana Alloy的Windows机器上提升权限。
如何修复Grafana Alloy的CVE-2024-8975漏洞?
建议卸载Grafana Alloy并进行干净安装,简单更新无法解决问题。
Grafana Agent v0.43.2修复了什么问题?
Grafana Agent v0.43.2修复了Flow模式下的CVE-2024-8996漏洞。
CVE-2024-8996漏洞的风险是什么?
CVE-2024-8996漏洞同样允许本地用户在Windows机器上提升权限。
受影响的Grafana Alloy版本有哪些?
所有v1.3.3之前的Grafana Alloy版本都受到影响。
Grafana如何处理安全漏洞报告?
Grafana Labs会回复报告并告知处理进展,建议在漏洞修复前不要公开信息。
➡️
