Grafana Labs’a Ait Kritik Güvenlik Açıkları
Grafana Labs, Grafana Image Renderer eklentisi ve Synthetic Monitoring Agent için dört adet Chromium güvenlik açığını ele alan kritik güncellemeler yayınladı. Bu sorunlar, iki hafta önce açık kaynak proje tarafından düzeltildi, fakat güvenlik araştırmacısı Alex Chapman, bu açıkların Grafana bileşenleri içinde kullanıldığını gösteren bir hata ödülü raporu sundu.
Kritik Güncellemelerin Detayları
Grafana, bu güncellemeleri "kritik önemde güvenlik sürümü" olarak tanımlıyor ve kullanıcıların aşağıda belirtilen açıklar için düzeltmeleri mümkün olan en kısa sürede uygulamalarını tavsiye ediyor:
- CVE-2025-5959 (yüksek öncelik, 8.8 puan): V8 JavaScript ve WebAssembly motorundaki tür karışıklığı, özel bir HTML sayfası üzerinden bir kumanda içinde uzaktan kod yürütülmesine olanak tanır.
- CVE-2025-6554 (yüksek öncelik, 8.1 puan): V8’deki tür karışıklığı, saldırganların kötü niyetli bir HTML sayfası ile rastgele bellek okuma/yazma gerçekleştirmesine olanak sağlar.
- CVE-2025-6191 (yüksek öncelik, 8.8 puan): V8’deki tamsayı taşması, bellek dışı erişimi mümkün kılarak kod yürütülmesine yol açabilir.
- CVE-2025-6192 (yüksek öncelik, 8.8 puan): Chrome’un Metric bileşenindeki kullanılmamış bellek (use-after-free) açığı, özel HTML ile kullanılabilecek yığın bozulmasına neden olabilir.
Bu güvenlik sorunları, Grafana Image Renderer‘ın 3.12.9’dan önceki versiyonları ve Synthetic Monitoring Agent‘ın 0.38.3’ten önceki versiyonlarını etkilemektedir.
Grafana Image Renderer ve Synthetic Monitoring Agent
Grafana Image Renderer, otomatik panoların zamanlanmış eposta raporları için oluşturulmasında ve üçüncü taraf sistemlere gömülü halde kullanılmasında yaygın olarak kullanılan bir eklentidir. Grafana ile birlikte varsayılan olarak sunulmasa da resmi proje tarafından bakımı yapılmakta ve milyonlarca kez indirilmiştir.
Synthetic Monitoring Agent ise Grafana Cloud’un Synthetic Monitoring özelliğinin bir parçasıdır. Bu özellik, özel prob yerleri, düşük gecikme süreleri ve dahili kritik kontrol noktalarına ihtiyaç duyan müşteriler için kullanılır. Ayrıca, hibrit veya çoklu bulut altyapısı olan işletmelerin güvenlik duvarlarının arkasındaki sentetik test gereksinimlerini de karşılar. Her ne kadar Image Renderer kadar yaygın olmasa da, önemli sayıda yüksek değerli ortamda bulunabilir.
Bu iki bileşen, panoları render etmek için bir başsız Chromium tarayıcısı içermektedir ve bu durum, onların güvenlik açıklarına maruz kalmalarına neden olmaktadır.
Güncelleme Nasıl Yapılır?
Image Renderer eklentisinin en son versiyonunu almak için aşağıdaki komutu kullanabilirsiniz:
bash
grafana-cli plugins install grafana-image-renderer
Konteyner kurulumları için:
bash
docker pull grafana/grafana-image-renderer:3.12.9
Synthetic Monitoring Agent güncellemesi ise GitHub’dan indirilebilir. Konteyner güncellemesi için şu komut kullanılabilir:
bash
docker pull grafana/synthetic-monitoring-agent:v0.38.3-browser
Grafana Cloud ve Azure Managed Grafana
Grafana Labs, Grafana Cloud ve Azure Managed Grafana instance’larının güncellendiğini, bu nedenle harici olarak barındırılan instance’ların kullanıcılarının herhangi bir işlem yapmasına gerek olmadığını belirtti. Ancak, kullanıcılardan bazıları son dönemlerde acil güncelleme bildirimlerine karşı gösterdikleri tepki ile dikkat çekti. Ox Security, geçen ay 46,000’den fazla instance’ın, Mayıs ayında düzeltmeleri yayımlanan bir hesap ele geçirme açığına karşı savunmasız kaldığını vurguladı.
Sonuç
Grafana’nın sunduğu güvenlik güncellemeleri, kullanıcıların sistemlerini koruma altına almak için kritik önem taşımaktadır. Açıkların derhal kapatılması, potansiyel veri sızıntılarına veya kötü niyetli saldırılara karşı önlem almak adına gereklidir. Kullanıcıların bu güncellemeleri uygulamaları, güvenli bir çalışma ortamı sağlamak için oldukça önemlidir.
