検出

プラグイン

SUSE SLED15 / SLES15 / openSUSE 15 セキュリティ更新: grafana (SUSE-SU-2022:3765-1)

high Nessus プラグイン ID 166603

Language:

概要

リモートの SUSE ホストに 1 つ以上のセキュリティ更新がありません。

説明

リモートの SUSE Linux SLED15 / SLES15 / openSUSE 15 ホストには、SUSE-SU-2022:3765-1 のアドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

- Grafana は、監視および可観測性のためのオープンソースプラットフォームです。影響を受けるバージョンでは、攻撃者が Grafana データソースまたはプラグインプロキシを通じて HTML コンテンツを提供し、特別に細工されたリンクを使用してユーザーを騙してこの HTML ページにアクセスさせ、クロスサイトスクリプティング (XSS)攻撃を実行する可能性があります。攻撃者は、特定の Grafana インスタンスの既存のデータソースを侵害するか、独自のパブリックサービスを設定し、誰かに Grafana インスタンスで設定するように命令する可能性があります。影響を受けるのは、以下のすべてが該当する場合です。データソースプロキシ: Access Mode および URL としてサーバーで構成された Grafana HTTP ベースデータソース。攻撃者は、上記のデータソースの URL を提供する HTTP サーバーを制御している必要があり、攻撃者が制御しているデータソースをポイントする特別に細工されたリンクをクリックする必要があります。プラグインプロキシの場合: URL で構成され、有効化されている Grafana HTTP ベースのアプリプラグイン。攻撃者は、上記のアプリの URL を提供する HTTP サーバーを制御している必要があり、攻撃者が制御するプラグインをポイントする特別に細工されたリンクは、認証されたユーザーによってクロックオンされる必要があります。バックエンドプラグインリソースの場合: 攻撃者は、細工されたリンクを通じて、認証されたユーザーを侵害されたプラグインに誘導できる必要があります。ユーザーは、パッチを適用したバージョンに更新することが推奨されています。この脆弱性に対する既知の回避策はありません。(CVE-2022-21702)

- Grafana は、監視および可観測性のためのオープンソースプラットフォームです。影響を受けるバージョンは、クロスサイトリクエストフォージェリの脆弱性の対象です。これにより、攻撃者は、認証された強い権限の Grafana ユーザー (たとえば、編集者や管理者)に対してクロスオリジン攻撃を仕掛けることにより、権限を昇格できます。
攻撃者は権限昇格に関するこの脆弱性を悪用し、認証されたユーザーを騙して、強い権限を持つ新しいユーザーとして攻撃者を招待する可能性があります。ユーザーは、至急アップグレードすることが勧められています。この問題についての既知の回避策はありません。(CVE-2022-21703)

- Grafana は、監視および可観測性のためのオープンソースプラットフォームです。影響を受けるバージョンの Grafana が、ユーザー承認を適切に処理しない複数の API エンドポイントを公開します。「/ teams /: teamId」では、認証された攻撃者が特定のチーム ID に対してクエリすることで意図されていないデータを表示することができるようになります。「/teams/: search」では、認証された攻撃者がチームを検索して、ユーザーがアクセスできないチームを含む、利用可能なチームの総数を確認する可能性があります。また、「/teams/: teamId/members」では、editors_can_admin フラグが有効な場合、認証された攻撃者が特定のチーム ID をクエリすることで意図しないデータを表示する可能性があります。
ユーザーは、至急アップグレードすることが勧められています。この問題についての既知の回避策はありません。
(CVE-2022-21713)

- Grafana は、監視および可観測性のためのオープンソースプラットフォームです。9.0.3、8.5.9、8.4.10、および 8.3.10より前の 8.xおよび 9.xブランチのバージョンは、Grafana の統合アラート機能を介して、保存されているクロスサイトスクリプティングに対して脆弱です。攻撃者がこの脆弱性を悪用し、認証された管理者を騙してリンクをクリックさせることで、権限を編集者から管理者に昇格させる可能性があります。バージョン 9.0.3、8.5.9、8.4.10、8.3.10 にはパッチが含まれています。回避策として、アラートを無効にするか、レガシーアラートを使用することができます。
(CVE-2022-31097)

- Grafana は、監視および可観測性のためのオープンソースプラットフォームです。9.0.3、8.5.9、8.4.10、8.3.10 までのバージョン 5.3では、認証されている悪意のあるユーザーが、ログイン名を提供する構成済みの OAuth IdP を介して Grafana インスタンスにログインし、その Grafana インスタンスの別のユーザーのアカウントを乗っ取る可能性があります。悪意のあるユーザーが OAuth 経由で Grafana へのログインを承認され、悪意のあるユーザーの外部ユーザー ID が Grafana のアカウントに関連付けられておらず、悪意のあるユーザーのメールアドレスがGrafanaのアカウントに関連付けられておらず、悪意のあるユーザーがターゲットユーザーの Grafana ユーザー名を知っている場合に、これが発生する可能性があります。これらの条件が満たされた場合、悪意のあるユーザーが OAuth プロバイダーのユーザー名をターゲットユーザーのユーザー名に設定し、OAuth フローを通過して Grafana にログインする可能性があります。上記の条件がすべて満たされている場合、ログイン中に外部ユーザーアカウントと内部ユーザーアカウントがリンクされる方法が原因で、悪意のあるユーザーがターゲットユーザーの Grafana アカウントにログインする可能性があります。バージョン 9.0.3、8.5.9、8.4.10、8.3.10 には、この問題に対するパッチが含まれています。回避策として、関係するユーザーは Grafana インスタンスへの OAuth ログインを無効にするか、OAuth 経由でログインする権限があるすべてのユーザーに、対応する Grafana のユーザーアカウントをメールアドレスにリンクさせることができます。
(CVE-2022-31107)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

影響を受ける grafana パッケージを更新してください。

参考資料

https://bugzilla.suse.com/1195726

https://bugzilla.suse.com/1195727

https://bugzilla.suse.com/1195728

https://bugzilla.suse.com/1201535

https://bugzilla.suse.com/1201539

https://www.suse.com/security/cve/CVE-2022-21702

https://www.suse.com/security/cve/CVE-2022-21703

https://www.suse.com/security/cve/CVE-2022-21713

https://www.suse.com/security/cve/CVE-2022-31097

https://www.suse.com/security/cve/CVE-2022-31107

http://www.nessus.org/u?b9c9e234

プラグインの詳細

深刻度: High

ID: 166603

ファイル名: suse_SU-2022-3765-1.nasl

バージョン: 1.8

タイプ: local

エージェント: unix

ファミリー: SuSE Local Security Checks

公開日: 2022/10/27

更新日: 2024/2/16

サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: Medium

基本値: 6.8

現状値: 5.3

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2022-21703

CVSS v3

リスクファクター: High

基本値: 8.8

現状値: 7.9

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:suse_linux:grafana, cpe:/o:novell:suse_linux:15

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2022/10/26

脆弱性公開日: 2022/2/8

参照情報

CVE: CVE-2022-21702, CVE-2022-21703, CVE-2022-21713, CVE-2022-31097, CVE-2022-31107

IAVB: 2023-B-0087-S

SuSE: SUSE-SU-2022:3765-1