BDU:2023-01731
Grafana Labs, ООО «Ред Софт» Grafana, РЕД ОС
2023-03-28
Уязвимость веб-инструмента представления данных Grafana связана с недостаточной очисткой пользовательских данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществлять межсайтовые сценарные атаки (XSS)
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры: - минимизация пользовательских привилегий; - отключение/удаление неиспользуемых учетных записей пользователей; - использование средств межсетевого экранирования уровня веб-приложений для ограничения возможности удалённого доступа; - ограничение доступа к программному продукту из внешних сетей (Интернет).
Использование рекомендаций производителя: Для Grafana: https://grafana.com/blog/2023/02/28/grafana-security-release-new-versions-with-security-fixes-for-cve-2023-0594-cve-2023-0507-and-cve-2023-22462/
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/