BDU:2025-06002
Grafana Labs, ООО «Ред Софт» Grafana, РЕД ОС
2025-05-22
Уязвимость платформы для мониторинга и наблюдения Grafana связана с ошибками разграничения доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, нарушить работу программы путем удаления учётной записи администратора сервера
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Компенсирующие меры: - обязательное присвоение учетной записи пользователю организации; - контроль запрета правила принадлежности только одной организации пользователя с правами «Server Admin», которая (организация) управляется пользователем с правами «Organization Admin»; - ограничение доступа к платформе из внешних сетей (Интернет);
- отключение/удаление неиспользуемых учётных записей пользователей платформы;
- использование виртуальных частных сетей для организации удаленного доступа (VPN) к платформе.
В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.
Использование рекомендаций: Для Grafana: https://grafana.com/blog/2025/05/23/grafana-security-release-medium-and-high-severity-security-fixes-for-cve-2025-4123-and-cve-2025-3580/
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/