BDU:2025-06343
ООО «РусБИТех-Астра», Grafana Labs, ООО «Ред Софт» Grafana, РЕД ОС, ПК "ALD Pro"
2025-06-02
Уязвимость платформы для мониторинга и наблюдения Grafana связана с недостатками механизма авторизации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти существующие ограничения безопасности
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры: - отключение механизма анонимной аутентификации для доступа к платформе; - использование межсетевого экрана уровня приложений (WAF) для фильтрации сетевого трафика; - ограничение доступа к платформе из внешних сетей (Интернет); - отключение/удаление неиспользуемых учётных записей пользователей платформы; - использование виртуальных частных сетей для организации удаленного доступа (VPN) к платформе.
Использование рекомендаций: https://grafana.com/blog/2025/04/22/grafana-security-release-medium-and-high-severity-fixes-for-cve-2025-3260-cve-2025-2703-cve-2025-3454/
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ПК «ALD Pro»: обновление программного обеспечения, применение оперативного обновления ПК «ALD Pro» 2.4.2, предоставляемого в личном кабинете пользователя https://lk.astra.ru/ (https://wiki.astralinux.ru/x/ziLoD)