SUSE SLES15/openSUSE 15 セキュリティ更新: grafana (SUSE-SU-2026:1037-1)
high Nessus プラグイン ID 303789
Language:
概要
リモートの SUSE ホストに 1 つ以上のセキュリティ更新がありません。説明
リモートの SUSE Linux SLES15/openSUSE 15 ホストには、SUSE-SU-2026:1037-1 のアドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。- 修正されたセキュリティ問題:
- CVE-2026-21722公開ダッシュボード注釈時間選択が無効な場合はダッシュボードの時間範囲を使用しますbsc#1258136
- CVE-2026-21721ダッシュボード権限 API によるアクセスコントロールを修正しましたbsc#1257337
- CVE-2026-21720認証されていない DoS を修正しましたbsc#1257349
- CVE-2025-68156ビルトイン関数の無限再帰を通じた潜在的な DoS を修正しましたbsc#1255340
- CVE-2025-3415DingDing アラート統合 URL のビューアーレベルユーザーへの漏洩を修正しましたbsc#1245302
- 次のハイライトされた変更と修正を含む 11.5.10 から 11.6.11 のバージョン更新
- パフォーマンス向上: よりスムーズなマップ視覚化のために WebGL 搭載のジオマップを導入し、UI オーバーレイからぼやけた背景を削除してインターフェースを高速化しました。
- ワンクリックアクション: ビジュアライゼーションで、ワンクリックのリンクおよびアクションを使用したより迅速なナビゲーションがサポートされるようになりました。
- アラート履歴: アラートルールにバージョン履歴が追加され、経時的に変更を追跡できるようになりました。
- サービスアカウント: 起動時に古い API キーをより安全なサービスアカウントに自動移行します。
- Cron サポート: 注釈が Cron 構文をサポートし、より柔軟なスケジューリングができるようになりました。
- ID および認証Avatar 機能が強化され現在はサインインが必要、Grafana がサブパスでホストされている場合に発生するいくつかのログインリダイレクト問題が修正されました。
- データソースのサポート: Cloud Partner Prometheus データソースのサポートを追加し、Azure 凡例のフォーマットを改善しました。
- アラート制限: 拡張された通知テンプレートのサイズ制限を追加し、システムがストレスをためないようにしました。
- RBAC: ロールベースのアクセス制御 (RBAC) を、reqAction フィールドを介して Alertmanager に統合しました。
- データの一貫性: Graphite と InfluxDB で、繰り返しの行またはネスト化されたクエリで変数が処理される方法に関するいくつかの問題を修正しました。
- ダッシュボードの信頼性: 行の繰り返しと「自己参照」データリンクに関連するバグを解決しました。
- アラートの修正: アラートルールでの競合状態によって引き起こされる重大な「パニック」クラッシュにパッチが適用され、連絡先が正しく機能しない問題が修正されました。
- URL 処理URL パラメーターの「true」値が正しく読み取られないバグを修正しました
Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受ける grafana パッケージを更新してください。参考資料
https://bugzilla.suse.com/1245302
https://bugzilla.suse.com/1255340
https://bugzilla.suse.com/1257337
https://bugzilla.suse.com/1257349
https://bugzilla.suse.com/1258136
http://www.nessus.org/u?21d9094f
https://www.suse.com/security/cve/CVE-2025-3415
https://www.suse.com/security/cve/CVE-2025-68156
https://www.suse.com/security/cve/CVE-2026-21720
プラグインの詳細
深刻度: High
ID: 303789
ファイル名: suse_SU-2026-1037-1.nasl
バージョン: 1.1
タイプ: Local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2026/3/26
更新日: 2026/3/26
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.0
CVSS v2
リスクファクター: High
基本値: 8.5
現状値: 6.7
ベクトル: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:N
CVSS スコアのソース: CVE-2026-21721
CVSS v3
リスクファクター: High
基本値: 8.1
現状値: 7.3
ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
脆弱性情報
CPE: cpe:/o:novell:suse_linux:15, p-cpe:/a:novell:suse_linux:grafana
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2026/3/25
脆弱性公開日: 2025/6/18
参照情報
CVE: CVE-2025-3415, CVE-2025-68156, CVE-2026-21720, CVE-2026-21721, CVE-2026-21722
IAVB: 2025-B-0121-S, 2026-B-0025
SuSE: SUSE-SU-2026:1037-1