検出

FreeBSD:Grafana -- 不適切なアクセスコントロール (99bff2bd-4852-11ec-a828-6c3be5272acd)

high Nessus プラグイン ID 156025

Language:

概要

リモートのFreeBSDホストに1つ以上のセキュリティ関連の更新プログラムがありません。

説明

リモートホストにインストールされている FreeBSD のバージョンは、テスト済みバージョンより前です。したがって、99bff2bd-4852-11ec-a828-6c3be5272acdのアドバイザリに記載されている脆弱性の影響を受けます。

 - Grafanaは、監視および可観測性のためのオープンソースプラットフォームです。影響を受けるバージョンでは、きめ細かいアクセスコントロールのベータ機能が有効で、Grafana インスタンスに複数の組織がある場合、管理者は他の組織のユーザーにアクセスできます。Grafana 8.0では、Organization Admin ロールを持つユーザーが、自分が管理者でない他の組織のユーザーのロールを一覧表示、追加、削除、更新できるメカニズムを導入しました。粒度の細かいアクセスコントロールを有効にすると、組織管理者は、組織管理者ロールのない別の組織のユーザーのロールを一覧表示、追加、削除、更新できます。粒度の細かいアクセスコントロールのベータが有効になっていて、複数の組織がいる v8.0 と v8.2.3 の間のすべてのインストールは、できるだけ早くアップグレードする必要があります。アップグレードできない場合は、機能フラグを使用して、粒度の細かいアクセスコントロールをオフにする必要があります。 (CVE-2021-41244)

Nessus はこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

http://www.nessus.org/u?b4f81573

http://www.nessus.org/u?df37eabf

プラグインの詳細

深刻度: High

ID: 156025

ファイル名: freebsd_pkg_99bff2bd485211eca8286c3be5272acd.nasl

バージョン: 1.4

タイプ: local

公開日: 2021/12/13

更新日: 2023/11/6

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: Medium

基本値: 6.5

現状値: 4.8

ベクトル: CVSS2#AV:N/AC:L/Au:S/C:P/I:P/A:P

CVSS スコアのソース: CVE-2021-41244

CVSS v3

リスクファクター: High

基本値: 7.2

現状値: 6.3

ベクトル: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:freebsd:freebsd:grafana, p-cpe:/a:freebsd:freebsd:grafana8, cpe:/o:freebsd:freebsd

必要な KB アイテム: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2021/12/11

脆弱性公開日: 2021/11/15

参照情報

CVE: CVE-2021-41244