CVE-2021-41090

Versões do Grafana Agent anteriores à 0.20.1 e à 0.21.2

O problema diz respeito à exposição de segredos embutidos em texto simples em dois endpoints: /-/config para configurações de instâncias de métricas definidas no arquivo YAML base e /agent/api/v1/configs/:key para configurações de instâncias de métricas definidas para o serviço de scraping. Esses segredos são usados para enviar métricas a um sistema Prometheus Remote Write, autenticar-se em um sistema para descobrir alvos do Prometheus e autenticar-se em um sistema para coletar métricas. A exposição ocorre quando o HTTPS com autenticação de cliente não está configurado, tornando os pontos de extremidade acessíveis a usuários não autenticados. Segredos não incorporados, como segredos baseados em * file, não são afetados.

Para versões anteriores à 0.20.1 e 0.21.2, use segredos não incorporados sempre que possível.

Restrinja o acesso à API do Grafana Agent limitando as interfaces de rede nas quais ele escuta por meio de http listen address no bloco server.

Configure o Grafana Agent para usar HTTPS com autenticação de cliente.

Use regras de firewall para restringir o acesso externo à API do Grafana Agent.

Atualize para a versão 0.20.1 ou qualquer versão posterior à 0.21.2 para corrigir o problema.