検出

SUSE SLES12 セキュリティ更新プログラム: SUSE Manager Client Tools (SUSE-SU-2022:3747-1)

high Nessus プラグイン ID 166596

Language:

概要

リモートの SUSE ホストに 1 つ以上のセキュリティ更新がありません。

説明

リモートの SUSE Linux SLES12 / SLES_SAP12 ホストには、SUSE-SU-2022:3747-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

 - client_golang は、Prometheus の Go アプリケーション用のインストルメンテーションライブラリであり、client_golang の promhttp パッケージは、HTTP サーバーおよびクライアントに関連するツールを提供します。バージョン 1.11.1より前の client_golang では、HTTP サーバーは、非標準の HTTP メソッドでリクエストを処理する際に、無制限のカーディナリティによる潜在的なサービス拒否やメモリ枯渇の可能性があります。影響を受けるのは、インストルメント化されたソフトウェアは「RequestsInFlight」を除く「promhttp.InstrumentHandler *」ミドルウェアのいずれかを使用する場合です。
 ミドルウェアの前に特定のメソッド (例:GET) をフィルタリングせず、「method」ラベル名のメトリクスをミドルウェアに渡し、不明な「メソッド」を持つリクエストをフィルタリングする firewall/LB/proxy がありません。
 client_golang バージョン 1.11.1には、この問題のパッチが含まれています。いくつかの回避策が利用可能です。これには、InstrumentHandler で使用されるカウンター/ゲージからの「メソッド」ラベル名の削除が含まれます。影響を受ける promhttp ハンドラーをオフにします。Promhttp ハンドラーの前にカスタムミドルウェアを追加し、Go http.Request によって指定されたリクエストメソッドをサニタイズします。リバースプロキシまたは Web アプリケーションファイアウォールを使用し、一部のメソッドのみを許可するように構成されています。(CVE-2022-21698)

 - Grafana は、監視および可観測性のためのオープンソースプラットフォームです。9.0.3、8.5.9、8.4.10、および 8.3.10より前の 8.xおよび 9.xブランチのバージョンは、Grafana の統合アラート機能を介して、保存されているクロスサイトスクリプティングに対して脆弱です。攻撃者がこの脆弱性を悪用し、認証された管理者を騙してリンクをクリックさせることで、権限を編集者から管理者に昇格させる可能性があります。バージョン 9.0.3、8.5.9、8.4.10、8.3.10 にはパッチが含まれています。回避策として、アラートを無効にするか、レガシーアラートを使用することができます。
 (CVE-2022-31097)

 - Grafana は、監視および可観測性のためのオープンソースプラットフォームです。9.0.3、8.5.9、8.4.10、8.3.10 までのバージョン 5.3では、認証されている悪意のあるユーザーが、ログイン名を提供する構成済みの OAuth IdP を介して Grafana インスタンスにログインし、その Grafana インスタンスの別のユーザーのアカウントを乗っ取る可能性があります。悪意のあるユーザーが OAuth 経由で Grafana へのログインを承認され、悪意のあるユーザーの外部ユーザー ID が Grafana のアカウントに関連付けられておらず、悪意のあるユーザーのメールアドレスがGrafanaのアカウントに関連付けられておらず、悪意のあるユーザーがターゲットユーザーの Grafana ユーザー名を知っている場合に、これが発生する可能性があります。これらの条件が満たされた場合、悪意のあるユーザーが OAuth プロバイダーのユーザー名をターゲットユーザーのユーザー名に設定し、OAuth フローを通過して Grafana にログインする可能性があります。上記の条件がすべて満たされている場合、ログイン中に外部ユーザーアカウントと内部ユーザーアカウントがリンクされる方法が原因で、悪意のあるユーザーがターゲットユーザーの Grafana アカウントにログインする可能性があります。バージョン 9.0.3、8.5.9、8.4.10、8.3.10 には、この問題に対するパッチが含まれています。回避策として、関係するユーザーは Grafana インスタンスへの OAuth ログインを無効にするか、OAuth 経由でログインする権限があるすべてのユーザーに、対応する Grafana のユーザーアカウントをメールアドレスにリンクさせることができます。
 (CVE-2022-31107)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

影響を受けるgolang-github-prometheus-node_exporterパッケージを更新してください。

参考資料

https://bugzilla.suse.com/1196338

https://bugzilla.suse.com/1198903

https://bugzilla.suse.com/1200725

https://bugzilla.suse.com/1201535

https://bugzilla.suse.com/1201539

https://www.suse.com/security/cve/CVE-2022-21698

https://www.suse.com/security/cve/CVE-2022-31097

https://www.suse.com/security/cve/CVE-2022-31107

http://www.nessus.org/u?48e00192

プラグインの詳細

深刻度: High

ID: 166596

ファイル名: suse_SU-2022-3747-1.nasl

バージョン: 1.6

タイプ: local

エージェント: unix

公開日: 2022/10/27

更新日: 2023/7/13

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: Medium

基本値: 5

現状値: 3.7

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P

CVSS スコアのソース: CVE-2022-21698

CVSS v3

リスクファクター: High

基本値: 8.7

現状値: 7.6

ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

CVSS スコアのソース: CVE-2022-31097

脆弱性情報

CPE: p-cpe:/a:novell:suse_linux:golang-github-prometheus-node_exporter, cpe:/o:novell:suse_linux:12

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2022/10/26

脆弱性公開日: 2022/2/15

参照情報

CVE: CVE-2022-21698, CVE-2022-31097, CVE-2022-31107

SuSE: SUSE-SU-2022:3747-1