FreeBSD : grafana -- LDAP および OAuth ログインの脆弱性 (1f8d5806-ac51-11e8-9cb6-10c37b4ac2ea)

high Nessus プラグイン ID 112236

Language:

概要

リモートの FreeBSD ホストに 1 つ以上のセキュリティ関連の更新プログラムがありません。

説明

Grafana Labs による報告:

8月20日の18:00(CEST)に、ログイン時にGrafanaが設定する「remember me」cookieに関する潜在的なセキュリティ問題について連絡がありました。この問題は、ローカルのGrafanaパスワードのないユーザー(LDAPおよびOAuthユーザー)をターゲットにしており、ユーザー名のみを知っている潜在的な攻撃者が有効なcookieを生成する可能性がありました。

Grafana LDAPまたはOAuth認証機能を使用するインストールはすべて、早急にアップグレードする必要があります。アップグレードできない場合は、認証メカニズムを切り替えるか、リバースプロキシなどの追加保護機能をGrafanaの前に配置する必要があります。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

http://www.nessus.org/u?70768992

http://www.nessus.org/u?189b9540

プラグインの詳細

深刻度: High

ID: 112236

ファイル名: freebsd_pkg_1f8d5806ac5111e89cb610c37b4ac2ea.nasl

バージョン: 1.3

タイプ: local

公開日: 2018/9/4

更新日: 2024/8/13

サポートされているセンサー: Nessus

脆弱性情報

CPE: p-cpe:/a:freebsd:freebsd:grafana3, p-cpe:/a:freebsd:freebsd:grafana4, cpe:/o:freebsd:freebsd, p-cpe:/a:freebsd:freebsd:grafana2, p-cpe:/a:freebsd:freebsd:grafana5

必要な KB アイテム: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2018/8/31

脆弱性公開日: 2018/8/20

参照情報

CVE: CVE-2018-558213