Kritische Sicherheitslücken in Grafana gepatcht

Am 22. April 2025 hat Grafana Labs für alle aktuellen Zweige von Grafana OSS und Enterprise Sicherheitspatches veröffentlicht (u. a. Grafana 11.6.0+security-01, 11.5.3+security-01, 11.4.3+security-01, 11.3.5+security-01, 11.2.8+security-01 und 10.4.17+security-01). Enthalten sind ein High-Severity-Fix für CVE-2025-3260 (Umgehung von Dashboard-Rechten für Viewer und Editor) sowie Medium-Severity-Patches für CVE-2025-2703 (DOM-XSS im XY-Chart-Plugin) und CVE-2025-3454 (Autorisierungs-Bypass in der Data-Source-Proxy-API). Grafana Cloud sowie Managed-Services bei AWS und Azure wurden vorab gepatcht. Betreiber sollten umgehend auf die genannten Versionen aktualisieren, um ihre Systeme zu schützen.

Related Posts

Die EU-Kommision verbietet KI Agenten in Web-Konferenzen

Die Europäische Kommission hat eine Grundregel erlassen, wonach virtuelle Assistenten auf Basis künstlicher Intelligenz nicht mehr an ihren Online‑Meetings teilnehmen dürfen, so berichtet POLITICO. Diese Vorgabe wurde Anfang April bei einer Telefonkonferenz mit Vertretern der digitalen Policy‑Support‑Netzwerke europaweit eingeführt und durch eine Meeting‑Etiquette‑Folie mit dem Satz „No AI Agents are allowed“ signalisiert. KI‑Agenten agieren autonom in virtuellen Umgebungen, können eigenständig Meetings beitreten, Notizen erstellen oder Informationen vortragen und wurden im „Virtual Worlds“-Paket der Kommission vom 31. März als softwarebasierte Assistenten mit definierten Vorgaben beschrieben. Obwohl die zugrunde liegenden KI‑Modelle bereits dem künftigen EU‑KI‑Gesetz unterliegen, reagiert die Kommission mit diesem Verbot auf zentrale Fragen der Transparenz, Rechenschaftspflicht und Sicherheit in digitalen Diskussionen.

Read More

Ransomware Angriff auf Vergleichsportal guenstiger.de

Am 23. April 2025 gab die guenstiger.de GmbH via LinkedIn bekannt, dass sie in der vergangenen Nacht Opfer einer Ransomware-Attacke wurde. Infolge des Angriffs kommt es aktuell zu technischen Einschränkungen auf der Website sowie in der Kunden­kommunikation. Die IT-Spezialisten des Vergleichsportals arbeiten mit Hochdruck an einer Lösung, während Partner und Kunden gebeten werden, eingehende Nachrichten und Anrufe besonders sorgfältig zu prüfen.

Read More

Krtische Lücke in der SSH‑Implementierung von Erlang/OTP (CVE‑2025‑32433)

Eine maximal kritische Sicherheitslücke in der SSH‑Implementierung von Erlang/OTP (CVE‑2025‑32433) ermöglicht es Angreifern, ohne Authentifizierung beliebigen Code auf betroffenen Systemen auszuführen. Betroffen sind alle Installationen mit OTP‑Versionen bis einschließlich 27.3.2, 26.2.5.10 und 25.3.2.19. Durch gezielt manipulierte SSH‑Nachrichten kann ein Angreifer über das Netzwerk volle Kontrolle über den Server erlangen, sensible Daten kompromittieren oder den Dienst lahmlegen. Nutzer sollten umgehend auf die gepatchten Versionen 27.3.3, 26.2.5.11 bzw. 25.3.2.20 aktualisieren. Bis zum Update empfiehlt sich, den SSH‑Dienst abzuschalten oder den Zugriff per Firewall zu beschränken. Entdeckt wurde der Fehler von Fabian Bäumer, Marcel Maehren, Marcus Brinkmann und Jörg Schwenk von der Ruhr‑Universität Bochum.

Read More