ГлавнаяБаза уязвимостей БДУ → BDU:2023-03343
9.7критическая

BDU:2023-03343 (CVE-2023-3128)

Уязвимость веб-инструмента представления данных Grafana, связанная с обходом аутентификации посредством спуфинга, позволяющая нарушителю получить полный доступ к учетной записи пользователя
Опубликовано: 2023-06-25
Описание

Уязвимость веб-инструмента представления данных Grafana связана с обходом аутентификации посредством спуфинга. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить полный доступ к учетной записи пользователя

Затрагиваемое ПО и версии
РЕД ОС (7.3)ROSA Virtualization (2.1)Grafana (до 8.5.27)Grafana (от 9.0.0 до 9.2.20)Grafana (от 9.3.0 до 9.3.16)Grafana (от 9.4.0 до 9.4.13)Grafana (от 9.5.0 до 9.5.5)Grafana (10.0.0)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- отключение возможности мультитенантного доступа через Azure AD;
- использование средств межсетевого экранирования для ограничения возможности удаленного доступа;
- ограничение доступа к программному обеспечению из внешних сетей (Интернет).

Использование рекомендаций производителя:
https://grafana.com/security/security-advisories/cve-2023-3128/

Для системы управления средой виртуализации «ROSA Virtualization»:
https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2181

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Оценка CVSS
Балл9.7 — критическая опасность
Источники и патчи
https://grafana.com/security/security-advisories/cve-2023-3128/https://securityonline.info/cve-2023-3128-grafana-account-takeover-vulnerability/https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2181http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Проверьте безопасность своего сайта и почты → Полная проверка домена