Sicherheitslücken in Grafana Alloy: SLES 15 SP7 prüfen

Im Grafana-Observability-Agent Alloy wurden mehrere Sicherheitslücken entdeckt, die unter anderem das Umgehen von Sicherheitsvorkehrungen ermöglichen. Betroffen sind Linux-Systeme, auf denen Alloy installiert ist – darunter potenziell SUSE Linux Enterprise Server (SLES) 15 SP7.

Risikobewertung: Die Gesamtbewertung liegt bei MITTEL. Eine der Schwachstellen (CVE-2026-33186) ist mit einem CVSS-Score von 9.1 als kritisch eingestuft und erfordert weder Authentifizierung noch besondere Voraussetzungen für eine Ausnutzung über das Netzwerk. Allerdings liegt die Wahrscheinlichkeit einer aktiven Ausnutzung (EPSS) bei lediglich 0,5 %, und es sind derzeit keine laufenden Angriffe bekannt. Die übrigen fünf CVEs weisen ebenfalls niedrige EPSS-Werte auf.

Was ist zu tun?

• Prüfen Sie, ob Alloy auf Ihren SLES 15 SP7-Systemen installiert ist (z. B. mit rpm -q alloy oder über Ihr Software-Inventar).
• Ist Alloy installiert, spielen Sie das verfügbare Sicherheitsupdate für SLES 15 SP7 zeitnah ein – spätestens innerhalb von 30 Tagen.
• Ist Alloy nicht installiert, kann das Advisory als nicht relevant markiert werden.

Hintergrund: Alloy ist ein Open-Source-Agent von Grafana Labs zur Erfassung von Metriken, Logs und Traces in Observability-Umgebungen. Er wird häufig in Monitoring-Infrastrukturen eingesetzt, ist aber nicht in jedem Unternehmensumfeld standardmäßig vorhanden. Die Relevanz dieses Advisorys hängt daher direkt vom tatsächlichen Einsatz der Software ab.

Quelle: DFN-CERT Advisory 2026-2739 · Risikostufe: MITTEL · Generiert am 18.06.2026