Vulnerabilidad en Grafana Agent (CVE-2021-41090)

Grafana Agent es un recolector de telemetría para enviar métricas, registros y datos de rastreo a la pila de observabilidad de Grafana. Antes de las versiones 0.20.1 y 0.21.2, los secretos en línea definidos dentro de una configuración de instancia de métrica se exponen en texto plano en dos endpoints: las configuraciones de instancia de métrica definidas en el archivo YAML base se exponen en "/-/config" y las configuraciones de instancia de métrica definidas para el servicio de raspado se exponen en "/agent/api/v1/configs/:key". Los secretos en línea son expuestos a cualquiera que pueda alcanzar estos endpoints. Si no se configura HTTPS con autenticación de cliente, estos endpoints son accesibles a usuarios no autenticados. Los secretos que son encontrados en estas secciones son usados para entregar métricas a un sistema de escritura remota de Prometheus, autenticar contra un sistema para detectar objetivos de Prometheus y autenticar contra un sistema para recopilar métricas. Esto no es aplicado a los secretos no alineados, como los secretos basados en "*_file". Este problema se ha parcheado en Grafana Agent versiones 0.20.1 y 0.21.2. Se presentan algunas soluciones disponibles. Los usuarios que no puedan actualizares deberían usar secretos no basados en la línea siempre que sea posible. Los usuarios también pueden querer restringir el acceso a la API de Grafana Agent con alguna combinación de restricción de las interfaces de red que escucha Grafana Agent mediante "http_listen_address" en el bloque "server", configurando Grafana Agent para usar HTTPS con autenticación de cliente, y/o usando reglas de firewall para restringir el acceso externo a la API de Grafana Agent