検出

openSUSE 15 セキュリティ更新: grafana (openSUSE-SU-2021:1148-1)

high Nessus プラグイン ID 152561

Language:

概要

リモートの SUSE ホストに 1 つ以上のセキュリティ更新がありません。

説明

リモートの SUSE Linux SUSE15ホストには、openSUSE-SU-2021:1148-1 のアドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

 - Grafana 6.7.3 〜 7.4.1 のスナップショット機能により、一般的に使用される構成が設定されている場合、認証されていないリモートの攻撃者がリモート API 呼び出しを介してサービス拒否を引き起こす可能性があります。
 (CVE-2021-27358)

 - Grafana Enterprise 7.2.x および 7.3.x より前の 7.3.10 および 7.4.x より前の 7.4.5 により、ダッシュボードエディターは、アクセスできないはずのデータソースに関する権限チェックをバイパスできます。(CVE-2021-27962)

 - 7.4.5 より前の Grafana Enterprise 7.4.x のチーム同期 HTTP API に、不適切なアクセス制御の問題があります。外部認証サービスを使用する Grafana インスタンスで、この脆弱性により、認証されたユーザーが外部グループを既存のチームに追加する可能性があります。これを使用して、ユーザーが持つべきではないユーザーチーム権限を付与できます。(CVE-2021-28146)

 - 6.7.6 より前の Grafana Enterprise 6.x、7.3.10 前の 7.x、7.4.5 前の 7.4.x のチーム同期 HTTP API に、不適切なアクセス制御の問題があります。外部認証サービスを使用し、EditorsCanAdmin 機能が有効な Grafana インスタンスで、この脆弱性により、認証されたユーザーが外部グループを既存のチームに追加する可能性があります。これを使用して、ユーザーが持つべきではないユーザーチーム権限を付与できます。(CVE-2021-28147)

 - Grafana Enterprise 6.7.6 より前の 6.x、7.3.10 より前の 7.x、および 7.4.5 より前の 7.4.x の Usage Insights HTTP API エンドポイントの 1 つに、認証なしでアクセスできます。これにより、認証されていないユーザーが無制限の数のリクエストをエンドポイントに送信し、Grafana Enterprise インスタンスに対するサービス拒否 (DoS) 攻撃を引き起こす可能性があります。(CVE-2021-28148)

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

影響を受けるgrafanaパッケージを更新してください。

参考資料

https://bugzilla.suse.com/1183803

https://bugzilla.suse.com/1183809

https://bugzilla.suse.com/1183811

https://bugzilla.suse.com/1183813

https://bugzilla.suse.com/1184371

http://www.nessus.org/u?2f9c9551

https://www.suse.com/security/cve/CVE-2021-27358

https://www.suse.com/security/cve/CVE-2021-27962

https://www.suse.com/security/cve/CVE-2021-28146

https://www.suse.com/security/cve/CVE-2021-28147

https://www.suse.com/security/cve/CVE-2021-28148

プラグインの詳細

深刻度: High

ID: 152561

ファイル名: openSUSE-2021-1148.nasl

バージョン: 1.2

タイプ: local

エージェント: unix

公開日: 2021/8/14

更新日: 2021/8/14

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.2

CVSS v2

リスクファクター: Medium

基本値: 4.9

現状値: 3.6

ベクトル: CVSS2#AV:N/AC:M/Au:S/C:P/I:P/A:N

CVSS スコアのソース: CVE-2021-27962

CVSS v3

リスクファクター: High

基本値: 7.1

現状値: 6.2

ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:grafana, cpe:/o:novell:opensuse:15.2

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2021/8/13

脆弱性公開日: 2021/3/18

参照情報

CVE: CVE-2021-27358, CVE-2021-27962, CVE-2021-28146, CVE-2021-28147, CVE-2021-28148