Oracle Linux 9 : grafana (ELSA-2022-8057)

high Nessus プラグイン ID 168119

概要

リモートの Oracle Linux ホストに、1 つ以上のセキュリティ更新プログラムがありません。

説明

リモートの Oracle Linux 9 ホストに、ELSA-2022-8057 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

- client_golang は、Prometheus の Go アプリケーション用のインストルメンテーションライブラリであり、client_golang の promhttp パッケージは、HTTP サーバーおよびクライアントに関連するツールを提供します。バージョン 1.11.1より前の client_golang では、HTTP サーバーは、非標準の HTTP メソッドでリクエストを処理する際に、無制限のカーディナリティによる潜在的なサービス拒否やメモリ枯渇の可能性があります。影響を受けるのは、インストルメント化されたソフトウェアは「RequestsInFlight」を除く「promhttp.InstrumentHandler *」ミドルウェアのいずれかを使用する場合です。
ミドルウェアの前に特定のメソッド (例:GET) をフィルタリングせず、「method」ラベル名のメトリクスをミドルウェアに渡し、不明な「メソッド」を持つリクエストをフィルタリングする firewall/LB/proxy がありません。
client_golang バージョン 1.11.1には、この問題のパッチが含まれています。いくつかの回避策が利用可能です。これには、InstrumentHandler で使用されるカウンター/ゲージからの「メソッド」ラベル名の削除が含まれます。影響を受ける promhttp ハンドラーをオフにします。Promhttp ハンドラーの前にカスタムミドルウェアを追加し、Go http.Request によって指定されたリクエストメソッドをサニタイズします。リバースプロキシまたは Web アプリケーションファイアウォールを使用し、一部のメソッドのみを許可するように構成されています。(CVE-2022-21698)

- Grafana は、監視および可観測性のためのオープンソースプラットフォームです。影響を受けるバージョンの Grafana が、ユーザー承認を適切に処理しない複数の API エンドポイントを公開します。「/ teams /: teamId」では、認証された攻撃者が特定のチーム ID に対してクエリすることで意図されていないデータを表示することができるようになります。「/teams/: search」では、認証された攻撃者がチームを検索して、ユーザーがアクセスできないチームを含む、利用可能なチームの総数を確認する可能性があります。また、「/teams/: teamId/members」では、editors_can_admin フラグが有効な場合、認証された攻撃者が特定のチーム ID をクエリすることで意図しないデータを表示する可能性があります。
ユーザーは、至急アップグレードすることが勧められています。この問題についての既知の回避策はありません。
(CVE-2022-21713)

- Go 1.17.12および Go 1.18.4の前の net/http でのクライアント IP アドレスの不適切な漏洩は、X-Forwarded-For ヘッダーの nil 値を含む Request.Header マップで httputil.ReverseProxy.ServeHTTP を呼び出すことで発生する可能性があります。これにより、クライアント IP を X-Forwarded-For ヘッダーの値として設定するための ReverseProxy が発生します。(CVE-2022-32148)

- Grafana は、監視および可観測性のためのオープンソースプラットフォームです。影響を受けるバージョンは、クロスサイトリクエストフォージェリの脆弱性の対象です。これにより、攻撃者は、認証された強い権限の Grafana ユーザー (たとえば、編集者や管理者)に対してクロスオリジン攻撃を仕掛けることにより、権限を昇格できます。
攻撃者は権限昇格に関するこの脆弱性を悪用し、認証されたユーザーを騙して、強い権限を持つ新しいユーザーとして攻撃者を招待する可能性があります。ユーザーは、至急アップグレードすることが勧められています。この問題についての既知の回避策はありません。(CVE-2022-21703)

- Go 1.17.12および Go 1.18.4より前の path/filepath における Glob の制御されない再帰により、攻撃者が、多数のパスセパレーターを含むパスを介して、スタック枯渇によりパニックを引き起こす可能性があります。
(CVE-2022-30632)

- Grafana は、監視および可観測性のためのオープンソースプラットフォームです。影響を受けるバージョンでは、データソースで Forward OAuth Identity 機能が有効になっている場合、API トークン (他のユーザー認証情報なし)でそのデータソースに対してクエリを送信すると、最後にログインしたユーザーの OAuth Identity が転送されます。
これにより、API トークン保有者は、意図されたアクセス権がないデータを取得する可能性があります。この攻撃は、Forward OAuth Identity 機能をサポートするデータソースを持つ Grafana インスタンス、Forward OAuth Identity 機能がオンに切り替えられたデータソースを持つ Grafana インスタンス、OAuth が有効な Grafana インスタンス、および使用可能な API キーを持つ Grafana インスタンスに依存しています。この問題には、バージョン 7.5.13および 8.3.4でパッチが適用されています。(CVE-2022-21673)

- Grafana は、監視および可観測性のためのオープンソースプラットフォームです。影響を受けるバージョンでは、攻撃者が Grafana データソースまたはプラグインプロキシを通じて HTML コンテンツを提供し、特別に細工されたリンクを使用してユーザーを騙してこの HTML ページにアクセスさせ、クロスサイトスクリプティング (XSS)攻撃を実行する可能性があります。攻撃者は、特定の Grafana インスタンスの既存のデータソースを侵害するか、独自のパブリックサービスを設定し、誰かに Grafana インスタンスで設定するように命令する可能性があります。影響を受けるのは、以下のすべてが該当する場合です。データソースプロキシ: Access Mode および URL としてサーバーで構成された Grafana HTTP ベースデータソース。攻撃者は、上記のデータソースの URL を提供する HTTP サーバーを制御している必要があり、攻撃者が制御しているデータソースをポイントする特別に細工されたリンクをクリックする必要があります。プラグインプロキシの場合: URL で構成され、有効化されている Grafana HTTP ベースのアプリプラグイン。攻撃者は、上記のアプリの URL を提供する HTTP サーバーを制御している必要があり、攻撃者が制御するプラグインをポイントする特別に細工されたリンクは、認証されたユーザーによってクロックオンされる必要があります。バックエンドプラグインリソースの場合: 攻撃者は、細工されたリンクを通じて、認証されたユーザーを侵害されたプラグインに誘導できる必要があります。ユーザーは、パッチを適用したバージョンに更新することが推奨されています。この脆弱性に対する既知の回避策はありません。(CVE-2022-21702)

- Go 1.17.12および Go 1.18.4より前の io/fs における Glob の制御されない再帰により、攻撃者が、多数のパスセパレーターを含むパスを介して、スタック枯渇によりパニックを引き起こす可能性があります。
(CVE-2022-30630)

-Go 1.17.12および Go 1.18.4より前の go/parser の Parse 関数における制御されない再帰により、攻撃者が、深くネストされた型または宣言を介して、スタック枯渇によりパニックを引き起こす可能性があります。(CVE-2022-1962)

- Go 1.17.12および Go 1.18.4の前の compress/gzip の Reader.Read における制御されない再帰により、攻撃者が、多数の連結された長さゼロの圧縮ファイルを含むアーカイブを介して、スタック枯渇によりパニックを引き起こす可能性があります。(CVE-2022-30631)

- 6.0.0より前の @braintree/sanitize-url パッケージは、sanitizeUrl 関数での不適切なサニタイズにより、クロスサイトスクリプティング (XSS) に対して脆弱です。(CVE-2021-23648)

- Go 1.17.12および Go 1.18.4より前に net/http の HTTP/1 クライアントで無効な Transfer-Encoding ヘッダーを受け入れると、ヘッダーを無効として不適切に拒否する中間サーバーと組み合わせた場合に、HTTP リクエストスマグリングが可能になります。(CVE-2022-1705)

- Go 1.17.12および Go 1.18.4より前の encoding/gob の Decoder.Decode の制御されない再帰により、深くネスト化された構造を含むメッセージを介して、スタック枯渇により攻撃者がパニックを引き起こす可能性があります。
(CVE-2022-30635)

- Go 1.17.12および Go 1.18.4の前の encoding/xml の Unmarshal における制御されない再帰により、攻撃者は、「any」フィールドタグを使用するネスト化されたフィールドを持つ Go 構造体に XML ドキュメントをアンマーシャリングすることで、スタック枯渇によりパニックを引き起こす可能性があります。(CVE-2022-30633)

- 1.17.12より前の Go および 1.18.4より前の 1.18.xの encoding/xml の Decoder.Skip で、深くネスト化された XML ドキュメントを介して、スタック枯渇およびパニックが発生する可能性があります。(CVE-2022-28131)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

影響を受ける grafana パッケージを更新してください。

参考資料

https://linux.oracle.com/errata/ELSA-2022-8057.html

プラグインの詳細

深刻度: High

ID: 168119

ファイル名: oraclelinux_ELSA-2022-8057.nasl

バージョン: 1.4

タイプ: local

エージェント: unix

公開日: 2022/11/22

更新日: 2023/10/2

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: Medium

Base Score: 6.8

Temporal Score: 5.3

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2022-21703

CVSS v3

リスクファクター: High

Base Score: 8.8

Temporal Score: 7.9

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: cpe:/o:oracle:linux:9, p-cpe:/a:oracle:linux:grafana

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/OracleLinux

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2022/11/22

脆弱性公開日: 2022/1/18

参照情報

CVE: CVE-2021-23648, CVE-2022-1705, CVE-2022-1962, CVE-2022-21673, CVE-2022-21698, CVE-2022-21702, CVE-2022-21703, CVE-2022-21713, CVE-2022-28131, CVE-2022-30630, CVE-2022-30631, CVE-2022-30632, CVE-2022-30633, CVE-2022-30635, CVE-2022-32148

IAVB: 2022-B-0025-S