FreeBSD: grafana -- LDAPおよびOAuthログインの脆弱性(1f8d5806-ac51-11e8-9cb6-10c37b4ac2ea)
high Nessus プラグイン ID 112236
Language:
概要
リモートのFreeBSDホストに1つ以上のセキュリティ関連の更新プログラムがありません。説明
Grafana Labsによる報告:8月20日の18:00(中央ヨーロッパ夏時間)に、ログイン時にGrafanaが設定する「remember me」cookieに関する潜在的なセキュリティ問題について連絡がありました。この問題は、ローカルのGrafanaパスワードを持たないユーザー(LDAPおよびOAuthユーザー)をターゲットにしており、潜在的な攻撃者がユーザー名のみを知っている有効なcookieを生成する可能性がありました。
Grafana LDAPまたはOAuth認証機能を使用するすべてのインストールは、早急にアップグレードする必要があります。アップグレードできない場合は、認証メカニズムを切り替えるか、リバースプロキシなどの追加保護をGrafanaの前に配置する必要があります。
ソリューション
影響を受けるパッケージを更新してください。参考資料
プラグインの詳細
深刻度: High
ID: 112236
ファイル名: freebsd_pkg_1f8d5806ac5111e89cb610c37b4ac2ea.nasl
バージョン: 1.2
タイプ: local
公開日: 2018/9/4
更新日: 2018/11/10
サポートされているセンサー: Nessus
脆弱性情報
CPE: p-cpe:/a:freebsd:freebsd:grafana2, p-cpe:/a:freebsd:freebsd:grafana3, p-cpe:/a:freebsd:freebsd:grafana4, p-cpe:/a:freebsd:freebsd:grafana5, cpe:/o:freebsd:freebsd
必要な KB アイテム: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info
パッチ公開日: 2018/8/31
脆弱性公開日: 2018/8/20
参照情報
CVE: CVE-2018-558213