ГлавнаяБаза уязвимостей БДУ → BDU:2023-02415
6.8средняя

BDU:2023-02415 (CVE-2022-21702)

Уязвимость HTTP прокси-сервера веб-инструмента представления данных Grafana, позволяющая нарушителю проводить межсайтовые сценарные атаки
Опубликовано: 2023-05-10
Описание

Уязвимость HTTP прокси-сервера веб-инструмента представления данных Grafana связана с недостаточной защитой структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, проводить межсайтовые сценарные атаки с помощью специально созданной вредоносной HTML-страницы

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (8)Fedora (34)Openshift Service Mesh (2)Fedora (35)РЕД ОС (7.3)Red Hat Advanced Cluster Management for Kubernetes (2)Fedora (36)Red Hat OpenShift GitOpsRed Hat OpenShift Container Platform (3.11)Red Hat OpenShift Container Platform (4)Red Hat Enterprise Linux (9)Openshift Service Mesh (2.1.0)Grafana (от 2.0.0-beta1 до 7.5.15)Grafana (от 8.0.0 до 8.3.5)NetApp E-Series Performance Analyzer (до 3.0)
Способ устранения

Использование рекомендаций:
Для Grafana:
https://grafana.com/blog/2022/02/08/grafana-7.5.15-and-8.3.5-released-with-moderate-severity-security-fixes/
https://github.com/grafana/grafana/commit/27726868b3d7c613844b55cd209ca93645c99b85
https://github.com/grafana/grafana/commit/41c1cd2865fee195a76f4856905077dfff311169

Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-21702

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/HLAQRRGNSO5MYCPAXGPH2OCSHOGHSQMQ/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/2PFW6Q2LXXWTFRTMTRN4ZGADFRQPKJ3D/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/36GUEPA5TPSC57DZTPYPBL6T7UPQ2FRH/

Для NetApp E-Series Performance Analyzer:
https://security.netapp.com/advisory/ntap-20220303-0005/
https://github.com/NetApp/eseries-perf-analyzer

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Компенсирующие меры:
Используя прокси-сервер, установите заголовок ответа Content Security Policy: sandbox для следующих маршрутов:
/api/datasources/proxy*
/api/plugin-proxy*
/api/plugins/<pluginId>/resources*
/api/datasources/<id>/resources*

Или, используя прокси-сервер, установите заголовок ответа Content-Disposition: attachment; “proxy.txt”.

Оценка CVSS
Балл6.8 — средняя опасность
Источники и патчи
https://grafana.com/security/security-advisories/cve-2022-21702/https://access.redhat.com/security/cve/cve-2022-21702https://bugzilla.redhat.com/show_bug.cgi?id=2050648https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/HLAQRRGNSO5MYCPAXGPH2OCSHOGHSQMQ/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/2PFW6Q2LXXWTFRTMTRN4ZGADFRQPKJ3D/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/36GUEPA5TPSC57DZTPYPBL6T7UPQ2FRH/https://github.com/grafana/grafana/security/advisories/GHSA-xc3p-28hw-q24ghttp://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Проверьте безопасность своего сайта и почты → Полная проверка домена