検出

openSUSEセキュリティ更新プログラム:grafana / grafana-piechart-panel / grafana-status-panel(openSUSE-2020-892)

high Nessus プラグイン ID 138710

Language:

概要

リモートのopenSUSEホストに、セキュリティ更新プログラムがありません。

説明

このgrafana、grafana-piechart-panel、grafana-status-panelの更新では、次の問題を修正します:

grafanaがバージョン7.0.3に更新しました:

 - 機能および強化

 - 統計:すべてのフィールドを含めます。#24829、@ryantxu

 - 変数:VariableEditorListの行アクションアイコンをアイコンボタンに変更します。#25217、@hshoff

 - バグ修正

 - Cloudwatch:DDoSProtectionの寸法を修正します。#25317、@papagian

 - 構成:ハイフンを含むセクションのenv varオーバーライドを修正します。#25178、@marefr

 - ダッシュボード:折りたたまれた行内のパネルを取得します。#25079、@peterholmberg

 - アラートが無効になっている場合は、アラートタブを表示しません。
 #25285、@dprokop

 - Jaeger:カスケードオプションのラベル期間値を修正します。
 #25129、@Estrax

 - Transformations:変換タブのクラッシュと最初の変換を追加した後の更新なしを修正しました。#25152、@torkelo

バージョン7.0.2への更新

 - バグ修正

 - セキュリティ:CVE-2020-13379を修正する緊急セキュリティパッチリリース

バージョン7.0.1への更新

 - 機能および強化

 - Datasource/CloudWatch:CloudWatch Logsのクエリ履歴をより読みやすくします。#24795、@kadelaney

 - CSVのダウンロード:日付と時刻の書式設定を追加します。#24992、@ryantxu

 - テーブル:右揃えのときに最後のセル値が見えるようにします。
 #24921、@peterholmberg

 - TablePanel:並べ替え順序の永続性の追加。#24705、@torkelo

 - 変換:reduce変換を使用する場合に正しいフィールド名を表示します。#25068、@peterholmberg

 - 変換:バイナリ演算でカスタム数値入力を許可します。#24752、@ryantxu

 - バグ修正

 - ダッシュボード/リンク:タグが機能しないことによるダッシュボードリンクを修正します。 #24773、@ KamalGalrani

 - ダッシュボード/リンク:ダッシュボードリンクの新しいウィンドウが開く問題を修正します。 #24772、@ KamalGalrani

 - ダッシュボード/リンク:変数が解決され、100に制限されます。#25076、@hugohaggmark

 - DataLinks:タイトルの変数補間を元に戻します。
 #24970、@dprokop

 - Datasource/CloudWatch:フィールドの提案が、プレフィックスのみに制限されなくなりました。#24855、@kaydelaney

 - Explore/テーブル:可能であれば、既存のフィールドタイプを維持します。
 #24944、@kaydelaney

 - Explore:フィルター式のあるクエリ結果の折り返し行の切り替えを修正します。#24915、@ivanahuckova

 - Explore:クエリエディターにおける元に戻す操作を修正します。#24797、@zoltanbedi

 - Explore:入力の見出し情報における単語の折り返しを修正します。#25014、@zoltanbedi

 - グラフ:凡例の小数が期待どおりに動作するようになりました。#24931、@torkelo

 - ログインページ:サービスボタンにカーソルを置いたときの色を修正します。#25009、@tskarhed

 - ログパネル:スクロールバーを修正します。#24850、@ivanahuckova

 - ダッシュボードの移動:ダッシュボードを移動すると、すべての変数が失われる問題を修正します。#25005、@torkelo

 - 整列の変換:フィールド順序の比較で表示名を使用します。#24984、@dprokop

 - パネル:表示モードで適切なパネルメニュー項目を表示します。
 #24912、@hugohaggmark

 - パネルエディター:カテゴリのオプションが1つのみの場合にラベルと説明が欠落する問題を修正します。#24905、@dprokop

 - パネルエディター:フィールドのデフォルトの表示名が指定された後でも、オーバーライドの名前マッチャーですべて元のフィールド名が表示されます。#24933、@torkelo

 - パネルインスペクター:データ表示オプションが必ず表示されるようにします。#24902、@hugohaggmark

 - パネルインスペクター:パネルタイプに対してサポートされていないデータ表示オプションを非表示にします。#24918、@hugohaggmark

 - パネルメニュー:ボタンを押すとメニューが非表示になるようにします。#25015、@tskarhed

 - Postgres:追加ボタンを修正します。#25087、@phemmer

 - Prometheus:記録ルールの拡張を修正します。#24977、@ivanahuckova

 - Stackdriver:サービスレベル目標(SLO)データソースのクエリ変数の作成を修正します。#25023、@papagian

バージョン7.0.0への更新

- 重大な変更

 - PhantomJSの削除:PhantomJSはGrafana v6.4で廃止され、Grafana v7.0.0以降、すべてのPhantomJSサポートが削除されました。つまり、Grafanaには作り込みの画像レンダラーが付属しなくなります。Grafana Image Rendererプラグインをインストールすることをお勧めします。

 - ダッシュボード:ダッシュボードのグローバル最小リフレッシュ間隔が適用されるようになり、デフォルトで5秒に設定されます。

 - 間隔計算:自動間隔の$__intervalの計算を制御する新しいオプションMax data pointsが追加されました。これまでは、パネルの幅を時間範囲で除算することで間隔を計算していました。新しいmax data pointsオプションにより、時間範囲に依存しない動的な値に$__intervalを簡単に設定できるようになりました。たとえば、Max data pointsを10に設定した場合、Grafanaは現在の時間範囲を10で除算して、動的に$__intervalを設定します。

 - Datasource/Loki:廃止されたLokiエンドポイントのサポートが削除されました。

 - バックエンドプラグイン:Grafanaで、バックエンドプラグインへの署名が必須となりました。署名しない場合、Grafanaはプラグインをロード/起動しません。
 これは、バックエンドプラグインのバイナリとファイルが改ざんされていないことを確認するための追加のセキュリティ対策です。詳細については、Upgrade Grafanaを参照してください。

 - @grafana/ui:フォーム移行の通知、@grafana/uiの変更ログを参照してください

 - @grafana/ui:カスタム値を作成するためのSelect APIの変更、@grafana/uiの変更ログを参照してください

 + 廃止の警告

 - スクリプト化されたダッシュボードは廃止されました。この機能は削除されていませんが、将来のリリースで削除されます。動的ダッシュボードの基になる要件への対応は別の方法で行う予定です。 #24059

 - バックエンドプラグインの最初の非公式バージョンおよびgrafana/grafana-plugin-modelの使用はともに廃止され、このプラグインに対するサポートは将来のリリースで削除されます。正式にサポートされた新しいバックエンドプラグインについては、バックエンドプラグインのドキュメントを参照してください。

 - 機能および強化

 - バックエンドプラグイン:最初の非公式バージョンのバックエンドプラグインを使用した場合の廃止の警告をログに記録します。#24675、@marefr

 - エディター:Enterで改行し、Shift+Enterでクエリを実行します。
 #24654、@davkal

 - Loki:同じ名前の複数の派生フィールドを許可します。
 #24437、@aocenas

 - 組織:将来の廃止通知を追加します。#24502、@torkelo

 - バグ修正

 - @grafana/toolkit:PWDの代わりにprocess.cwd()を使用してディレクトリを取得します。#24677、@zoltanbedi

 - 管理:設定ページで長い設定値を改行させます。#24559、@hugohaggmark

 - ダッシュボード:プロビジョニングされたダッシュボードJSONの編集を許可し、JSONがダッシュボードにコピーされたときに確認を追加します。
 #24680、@dprokop

 - ダッシュボード:ダッシュボード設定でリンクを開いたときに示される、不適切な「dashboard not found」というエラーを修正します。#24416、@torkelo

 - ダッシュボード:パネルエディターでデータソースが見つからないときに、デフォルトのデータソースが選択されるように修正します。#24526、@mckn

 - ダッシュボード:パネルエディターでパネルが透明から通常の状態に戻される問題を修正しました。#24483、@torkelo

 - ダッシュボード:パネルインスペクターからCSVファイルにエクスポートする際に、ヘッダー名にフィールド名が反映されるようにします。
 #24624、@peterholmberg

 - ダッシュボード:パネルエディターで、サイドペインがデフォルトでタブ付きで表示されるようにします。#24636、@dprokop

 - データソース:クエリ/注釈のヘルプコンテンツのフォーマットを修正します。#24687、@AgnesToulet

 - データソース:非同期マウントのエラーを修正します。#24579、@Estrax

 - データソース:URLでプロトコルが指定されない場合に、エラーなしでデータソースを保存するように修正します。#24497、@aknuds1

 - Explore/Prometheus:インスタントクエリの結果をテーブルにのみ表示します。#24508、@ivanahuckova

 - Explore:reactクエリエディターのレンダリングを修正します。#24593、@ivanahuckova

 - Explore:ログコンテキストビューでより多くのログがロードされるように修正します。
 #24135、@Estrax

 - Graphite:Metrictankクエリのロールアップインジケーターのスキーマと重複排除戦略を修正します。#24685、@torkelo

 - Graphite:クエリ注釈が再び動作するようにします。#24556、@hugohaggmark

 - ログ:コンテキストオーバーレイで「Load more」をクリックしてもログ行が拡張されません。#24299、@kaydelaney

 - ログ:合計バイトプロセスの計算を修正します。#24691、@davkal

 - 組織/ユーザー/チームの設定:UIテーマをデフォルトに戻すことができるように修正します。#24628、@AgnesToulet

 - プラグイン:マニフェスト検証を修正します。#24573、@aknuds1

 - プロビジョニング:プロビジョニングでのデフォルトアクセスモードとしてプロキシを使用します。#24669、@bergquist

 - 検索:Enterキーを押したときに項目が選択され、Grafanaがサブパスを使用して機能するように修正します。#24634、@tskarhed

 - 検索:展開されたフォルダの状態を保存します。#24496、@Clarity-89

 - セキュリティ:OpenTSDBデータソースでのタグ値のサニタイズの修正。#24539、@rotemreiss

 - テーブル:angularパネルから切り替える際に、オプションにangularオプションを含めません。#24684、@torkelo

 - テーブル:時系列フィールドに対する列のサイズ変更を維持するように修正しました。#24505、@torkelo

 - テーブル:nullのプロパティsubRowsを読み取れない問題を修正します。
 #24578、@hugohaggmark

 - タイムピッカー:絶対範囲に変換されることなく、タイムピッカーに相対範囲を入力できるように修正しました。#24534、@mckn

 - 変換:変換ドロップダウンがトリミングされないようにします。
 #24615、@dprokop

 - 変換:reduce変換を使用する際、ユーザーが入力したとおりの並べ替え順序を維持する必要があります。
 #24494、@hugohaggmark

 - 単位:接尾辞として記号が付いている通貨に単位記号を追加します。#24678、@hugohaggmark

 - 変数:1000エントリを超えるフィルタリングオプションを修正します。#24614、@hugohaggmark

 - 変数:Textbox変数がurlから値を読み込むように修正します。#24623、@hugohaggmark

 - Zipkin:スパンにremoteEndpointが含まれる場合のエラーを修正します。
 #24524、@aocenas

 - SAML:ユーザーログイン属性のマッピングで、メールからログインに切り替えます(Enterprise)

この更新はSUSEからインポートされました:SLE-15-SP2:更新プロジェクトを更新します。

ソリューション

影響を受けるgrafana / grafana-piechart-panel / grafana-status-panelパッケージを更新してください。

参考資料

https://bugzilla.opensuse.org/show_bug.cgi?id=1170557

プラグインの詳細

深刻度: High

ID: 138710

ファイル名: openSUSE-2020-892.nasl

バージョン: 1.4

タイプ: local

エージェント: unix

公開日: 2020/7/20

更新日: 2024/2/29

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.0

CVSS v2

リスクファクター: Medium

基本値: 6.4

現状値: 5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:P

CVSS スコアのソース: CVE-2020-13379

CVSS v3

リスクファクター: High

基本値: 8.2

現状値: 7.4

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:grafana, p-cpe:/a:novell:opensuse:grafana-debuginfo, p-cpe:/a:novell:opensuse:grafana-piechart-panel, p-cpe:/a:novell:opensuse:grafana-status-panel, cpe:/o:novell:opensuse:15.2

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2020/6/28

脆弱性公開日: 2019/9/3

参照情報

CVE: CVE-2019-15043, CVE-2020-12245, CVE-2020-13379