Уязвимость веб-инструмента представления данных Grafana связана с обходом аутентификации посредством спуфинга. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить полный доступ к учетной записи пользователя
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- отключение возможности мультитенантного доступа через Azure AD;
- использование средств межсетевого экранирования для ограничения возможности удаленного доступа;
- ограничение доступа к программному обеспечению из внешних сетей (Интернет).
Использование рекомендаций производителя:
https://grafana.com/security/security-advisories/cve-2023-3128/
Для системы управления средой виртуализации «ROSA Virtualization»:
https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2181
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
| Балл | 9.7 — критическая опасность |