Achtung, Sicherheitslücke in Grafana - bitte auf 8.3.1 aktualisieren!

Allgemeine Informationen zum Nachbau und zum Forum.
PV-Monitorung / PV Überwachung

Moderator: Ulrich

Antworten
clpv
Beiträge: 6
Registriert: So 5. Dez 2021, 16:39
Hat sich bedankt: 1 Mal

Achtung, Sicherheitslücke in Grafana - bitte auf 8.3.1 aktualisieren!

Beitrag von clpv »

Hallo zusammen,

nur zur Info, aktuell wurde eine Sicherheitslücke in Grafana gemeldet die alle 8.x Versionen betrifft und mit 8.3.1, 8.2.7, 8.1.8 und 8.0.7 gefixed wurde.

-> somit ASAP die Solaranzeige-Installation aktualisieren, insbesondere dann wenn sie auf die eine oder andere Art&Weise öffentlich erreichbar ist (öffentliches Dashboard...).

Infos vom Hersteller: https://grafana.com/blog/2021/12/07/gra ... urity-fix/

Edit: die momentan installierte Version sieht man bspw. im Anmelde-Bildschirm oder unter Configuration -> Preferences jeweils am unteren Bildschirmrand rechts..

Benutzeravatar
Ulrich
Administrator
Beiträge: 5505
Registriert: Sa 7. Nov 2015, 10:33
Wohnort: Essen
Hat sich bedankt: 152 Mal
Danksagung erhalten: 877 Mal
Kontaktdaten:

Re: Achtung, Sicherheitslücke in Grafana - bitte auf 8.3.1 aktualisieren!

Beitrag von Ulrich »

Solange die Solaranzeige nur im eigenen lokalen Netz betrieben wird, gibt es wenig Grund, Hals über Kopf, ein Update zu machen. Vor allem, wenn man nicht LINUX Experte ist. Bitte auf das neue Image warten. Es wird noch im Dezember kommen. Vor dem Zugriff vom Internet aus habe ich ja schon immer gewarnt. Der Aufwand, den man treiben muss, um den Raspberry vor Hackern zu schützen, steht in keinem Verhältnis.
-----------------------------------------------------
Ulrich . . . . . . . . [Projekt Administrator]

clpv
Beiträge: 6
Registriert: So 5. Dez 2021, 16:39
Hat sich bedankt: 1 Mal

Re: Achtung, Sicherheitslücke in Grafana - bitte auf 8.3.1 aktualisieren!

Beitrag von clpv »

Ulrich hat geschrieben:
Do 9. Dez 2021, 13:15
Solange die Solaranzeige nur im eigenen lokalen Netz betrieben wird, gibt es wenig Grund, Hals über Kopf, ein Update zu machen. Vor allem, wenn man nicht LINUX Experte ist. Bitte auf das neue Image warten. Es wird noch im Dezember kommen.

Code: Alles auswählen

apt update && apt upgrade
ist also nicht unterstützt / vorgesehen?
Ulrich hat geschrieben:
Do 9. Dez 2021, 13:15
Vor dem Zugriff vom Internet aus habe ich ja schon immer gewarnt.
Mag sein, hindert aber andere nicht daran das zu tun - "Was soll schon passieren..."

Ulrich hat geschrieben:
Do 9. Dez 2021, 13:15
Der Aufwand, den man treiben muss, um den Raspberry vor Hackern zu schützen, steht in keinem Verhältnis.

Code: Alles auswählen

apt update && apt upgrade
- das ist so ungefähr alles was man tun muss und tut auf einer Debian(-basierten) Distribution, die nicht Ubuntu heißt, eigentlich so gut wie nie weh.

Es gäbe auch noch Unattended upgrades - habe ich zum Beispiel auf dem Pi laufen der Pi-Hole und PiVPN (OpenVPN) macht und somit zwangsweise im Internet hängt - funktioniert einwandfrei und musste im konkreten Beispiel die letzten 3 Jahre eigentlich nicht angefasst geschweige denn repariert werden...

Benutzeravatar
Ulrich
Administrator
Beiträge: 5505
Registriert: Sa 7. Nov 2015, 10:33
Wohnort: Essen
Hat sich bedankt: 152 Mal
Danksagung erhalten: 877 Mal
Kontaktdaten:

Re: Achtung, Sicherheitslücke in Grafana - bitte auf 8.3.1 aktualisieren!

Beitrag von Ulrich »

Das Raspbian hat keinerlei Firewall aktiv, wenn man es installiert. (Ein Experte wird das aber wissen)

Die Grafana Version 8.3.1 ist nicht in den aktuellen Raspberry Paketen enthalten. Einfach nur mit Update und Upgrade wird man die nicht bekommen. Dort wird noch 6.7.2 verteilt. Man muss schon wissen, was man macht, wenn man 8.3.1 installieren möchte.
-----------------------------------------------------
Ulrich . . . . . . . . [Projekt Administrator]

TeamO
Beiträge: 1138
Registriert: Mo 22. Jun 2020, 08:58
Wohnort: Ulm / Neu-Ulm
Hat sich bedankt: 23 Mal
Danksagung erhalten: 225 Mal

Re: Achtung, Sicherheitslücke in Grafana - bitte auf 8.3.1 aktualisieren!

Beitrag von TeamO »

clpv hat geschrieben:
Do 9. Dez 2021, 13:53

Code: Alles auswählen

apt update && apt upgrade
Wird Dir ohne weiteres influxDB auf die aktuelle Version bringen und schon kannst Du die Solaranzeige nicht mehr ohne weitere Änderungen nutzen. Ist hier schon mehrfach besprochen worden
Gruß Timo

Auflistung Geräte/Dashboards/Anschlussart
Datenbankfelder der einzelnen Geräte
GANZ WICHTIG: Überblick der vorhandenen Anleitungen

Fertige Komplett-Systeme gibt es hier anfragen[AT]bauer-timo[.]de

Tibber Invite (100% Öko-Strom + 50€ Bonus)

Antworten

Zurück zu „Allgemeines“