BDU:2023-02415
ООО «Ред Софт», Red Hat Inc., NetApp Inc., Fedora Project, Grafana Labs Red Hat Advanced Cluster Management for Kubernetes, Red Hat Enterprise Linux, Grafana, Fedora, Red H
2022-01-21
Уязвимость HTTP прокси-сервера веб-инструмента представления данных Grafana связана с недостаточной защитой структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, проводить межсайтовые сценарные атаки с помощью специально созданной вредоносной HTML-страницы
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций: Для Grafana: https://grafana.com/blog/2022/02/08/grafana-7.5.15-and-8.3.5-released-with-moderate-severity-security-fixes/ https://github.com/grafana/grafana/commit/27726868b3d7c613844b55cd209ca93645c99b85 https://github.com/grafana/grafana/commit/41c1cd2865fee195a76f4856905077dfff311169
Для продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2022-21702
Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/HLAQRRGNSO5MYCPAXGPH2OCSHOGHSQMQ/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/2PFW6Q2LXXWTFRTMTRN4ZGADFRQPKJ3D/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/36GUEPA5TPSC57DZTPYPBL6T7UPQ2FRH/
Для NetApp E-Series Performance Analyzer: https://security.netapp.com/advisory/ntap-20220303-0005/ https://github.com/NetApp/eseries-perf-analyzer
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Компенсирующие меры: Используя прокси-сервер, установите заголовок ответа Content Security Policy: sandbox для следующих маршрутов: /api/datasources/proxy /api/plugin-proxy /api/plugins/<pluginId>/resources /api/datasources/<id>/resources
Или, используя прокси-сервер, установите заголовок ответа Content-Disposition: attachment; “proxy.txt”.