Dasjenige Bundesamt zum Besten von Sicherheit in dieser Informationstechnik (BSI) hat am 01.12.2022 zusammenführen Sicherheitshinweis zum Besten von Grafana hrsg.. Betroffen von dieser Sicherheitslücke sind die Betriebssysteme UNIX, Linux und Windows sowie dasjenige Produkt Open Source Grafana.

Die neuesten Hersteller-Empfehlungen in Bezug auf Updates, Workarounds und Sicherheitspatches zum Besten von selbige Sicherheitslücke finden Sie hier: Grafana Security Advisory (Stand: 30.11.2022).

Sicherheitshinweis zum Besten von Grafana – Risiko: mittel

Risikostufe: 2 (mittel)
CVSS Kusine Score: 6,5
CVSS Zeitlich Score: 5,7
Remoteangriff: Ja

Zur Priorisierung des Schweregrads von Sicherheitsanfälligkeiten in Computersystemen wird dasjenige Common Vulnerability Scoring System (CVSS) angewandt. Dieser CVSS-Standard ermöglicht es, potenzielle oder tatsächliche Sicherheitslücken uff Lager verschiedener Kriterien miteinander zu vergleichen, um Gegenmaßnahmen besser vorziehen zu können. Für jedes die Schweregrade einer Schwachstelle werden die Attribute „keine“, „tief“, „mittel“, „hoch“ und „unbequem“ verwendet. Dieser Kusine Score bewertet die Voraussetzungen zum Besten von zusammenführen Übergriff (u.a. Authentifizierung, Vielschichtigkeit, Privilegien, Userinteraktion) sowie dessen Konsequenzen. Beim Zeitlich Score fließen hoch die Zeit veränderbare Rahmenbedingungen in die Priorisierung ein. Dieser Schweregrad dieser aktuellen Schwachstelle wird nachdem dem CVSS mit einem Kusine Score von 6,5 denn „mittel“ eingestuft.

Grafana Programmfehler: Schwachstelle ermöglicht Offenlegung von Informationen

Grafana ist eine Open-Source Schlussbetrachtung- und Visualisierungssoftware.

Ein anonymer Angreifer aus dem angrenzenden Netzbereich kann eine Schwachstelle in Grafana ausnutzen, um Informationen offenzulegen.

Die Verwundbarkeit wird mit dieser eindeutigen CVE-Identifikationsnummer (Common Vulnerabilities and Exposures) CVE-2022-46156 gehandelt.

Von dieser Grafana-Sicherheitslücke betroffene Systeme im Gesamtschau

Betriebssysteme
UNIX, Linux, Windows

Produkte
Open Source Grafana Synthetic Monitoring Werber < 0.12.0 (cpe:/a:grafana:grafana)

Allgemeine Maßnahmen zum Umgang mit IT-Sicherheitslücken

1. User dieser betroffenen Systeme sollten selbige uff dem aktuellsten Stand halten. Hersteller sind zwischen Bekanntwerden von Sicherheitslücken dazu angehalten, selbige schnellstmöglich durch Evolution eines Patches oder eines Workarounds zu beheben. Sollten neue Sicherheitsupdates verfügbar sein, installieren Sie selbige zeitnah.

2. Rat einholen Sie zu Informationszwecken die im nächsten Phase aufgeführten Quellen. Oft enthalten selbige weiterführende Informationen zur aktuellsten Version dieser betreffenden Software sowie zur Verfügbarkeit von Sicherheitspatches oder Hinweise zu Workarounds.

3. Wenden Sie sich zwischen weiteren Fragen oder Unsicherheiten an Ihren zuständigen Administrator. IT-Sicherheitsverantwortliche sollten regelmäßig prüfen, zu welcher Zeit dasjenige herstellende Unternehmen ein neues Sicherheitsupdate zur Verfügung stellt.

Hersteller-Informationen zu Updates, Patches und Workarounds

An dieser Stelle finden Sie weiterführende Sinister mit Informationen hoch Programmfehler-Reports, Security-Fixes und Workarounds.

Grafana Security Advisory vom 2022-11-30 (01.12.2022)
Weitere Informationen finden Sie unter: https://grafana.com/blog/2022/11/30/security-release-new-version-of-synthetic-monitoring-agent-with-a-high-severity-fix-for-cve-2022-46156/

Versionshistorie dieser Sicherheitswarnung

Dies ist die initiale Steckdose des vorliegenden IT-Sicherheitshinweises zum Besten von Grafana. Sollten Updates bekanntgegeben werden, wird dieser Text aktualisiert. Änderungen oder Ergänzungen können Sie in dieser Versionshistorie nachlesen.

01.12.2022 – Initiale Steckdose

+++ Redaktioneller Index: Dieser Text wurde uff Lager aktueller BSI-Datenmaterial KI-gestützt erstellt. Feedback und Anmerkungen nehmen wir unter [email protected] entgegen. +++

Hinterher gehen Sie News.de schon zwischen Facebook, Twitter, Pinterest und YouTube? Hier finden Sie brandheiße News, aktuelle Videos und den direkten Kabel zur Redaktion.
roj/news.de