概要
リモートの SUSE ホストに 1 つ以上のセキュリティ更新がありません。
説明
リモートの SUSE Linux SLES12 / SLES_SAP12 ホストには、SUSE-SU-2022:3747-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。
- client_golang は、Prometheus の Go アプリケーション用のインストルメンテーションライブラリであり、client_golang の promhttp パッケージは、HTTP サーバーおよびクライアントに関連するツールを提供します。バージョン 1.11.1より前の client_golang では、HTTP サーバーは、非標準の HTTP メソッドでリクエストを処理する際に、無制限のカーディナリティによる潜在的なサービス拒否やメモリ枯渇の可能性があります。影響を受けるのは、インストルメント化されたソフトウェアは「RequestsInFlight」を除く「promhttp.InstrumentHandler *」ミドルウェアのいずれかを使用する場合です。
ミドルウェアの前に特定のメソッド (例:GET) をフィルタリングせず、「method」ラベル名のメトリクスをミドルウェアに渡し、不明な「メソッド」を持つリクエストをフィルタリングする firewall/LB/proxy がありません。
client_golang バージョン 1.11.1には、この問題のパッチが含まれています。いくつかの回避策が利用可能です。これには、InstrumentHandler で使用されるカウンター/ゲージからの「メソッド」ラベル名の削除が含まれます。影響を受ける promhttp ハンドラーをオフにします。Promhttp ハンドラーの前にカスタムミドルウェアを追加し、Go http.Request によって指定されたリクエストメソッドをサニタイズします。リバースプロキシまたは Web アプリケーションファイアウォールを使用し、一部のメソッドのみを許可するように構成されています。(CVE-2022-21698)
- Grafana は、監視および可観測性のためのオープンソースプラットフォームです。9.0.3、8.5.9、8.4.10、および 8.3.10より前の 8.xおよび 9.xブランチのバージョンは、Grafana の統合アラート機能を介して、保存されているクロスサイトスクリプティングに対して脆弱です。攻撃者がこの脆弱性を悪用し、認証された管理者を騙してリンクをクリックさせることで、権限を編集者から管理者に昇格させる可能性があります。バージョン 9.0.3、8.5.9、8.4.10、8.3.10 にはパッチが含まれています。回避策として、アラートを無効にするか、レガシーアラートを使用することができます。
(CVE-2022-31097)
- Grafana は、監視および可観測性のためのオープンソースプラットフォームです。9.0.3、8.5.9、8.4.10、8.3.10 までのバージョン 5.3では、認証されている悪意のあるユーザーが、ログイン名を提供する構成済みの OAuth IdP を介して Grafana インスタンスにログインし、その Grafana インスタンスの別のユーザーのアカウントを乗っ取る可能性があります。悪意のあるユーザーが OAuth 経由で Grafana へのログインを承認され、悪意のあるユーザーの外部ユーザー ID が Grafana のアカウントに関連付けられておらず、悪意のあるユーザーのメールアドレスがGrafanaのアカウントに関連付けられておらず、悪意のあるユーザーがターゲットユーザーの Grafana ユーザー名を知っている場合に、これが発生する可能性があります。これらの条件が満たされた場合、悪意のあるユーザーが OAuth プロバイダーのユーザー名をターゲットユーザーのユーザー名に設定し、OAuth フローを通過して Grafana にログインする可能性があります。上記の条件がすべて満たされている場合、ログイン中に外部ユーザーアカウントと内部ユーザーアカウントがリンクされる方法が原因で、悪意のあるユーザーがターゲットユーザーの Grafana アカウントにログインする可能性があります。バージョン 9.0.3、8.5.9、8.4.10、8.3.10 には、この問題に対するパッチが含まれています。回避策として、関係するユーザーは Grafana インスタンスへの OAuth ログインを無効にするか、OAuth 経由でログインする権限があるすべてのユーザーに、対応する Grafana のユーザーアカウントをメールアドレスにリンクさせることができます。
(CVE-2022-31107)
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。
ソリューション
影響を受けるgolang-github-prometheus-node_exporterパッケージを更新してください。
プラグインの詳細
ファイル名: suse_SU-2022-3747-1.nasl
エージェント: unix
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P
ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:novell:suse_linux:golang-github-prometheus-node_exporter, cpe:/o:novell:suse_linux:12
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトの容易さ: No known exploits are available