SUSE SLED15/ SLES15/ openSUSE 15 セキュリティ更新: grafana (SUSE-SU-2023:0362-1)
high Nessus プラグイン ID 171401
Language:
概要
リモートの SUSE ホストに 1 つ以上のセキュリティ更新がありません。説明
リモートの SUSE Linux SLED15 / SLED_SAP15 / SLES15 / SLES_SAP15 / openSUSE 15 ホストには、SUSE-SU-2023:0362-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。- Grafana は、オープンソースの可観測性およびデータ視覚化プラットフォームです。9.1.8 および 8.5.14 より前のバージョンは、プラグイン署名検証のバイパスに対して脆弱です。署名されていないプラグインが許可されていなくても、攻撃者はサーバー管理者に悪意のあるプラグインをダウンロードして正常に実行するよう誘導する可能性があります。
バージョン 9.1.8および 8.5.14には、この問題に対するパッチが含まれています。回避策として、信頼できないソースからダウンロードしたプラグインをインストールしないでください。(CVE-2022-31123)
- Grafana は、オープンソースの可観測性およびデータ視覚化プラットフォームです。9.1.8 および 8.5.14 より前のバージョンの Grafana は、特定の状況で、認証トークンを一部の宛先プラグインに漏洩する可能性があります。この脆弱性は、認証トークンを持つデータソースとプラグインプロキシのエンドポイントに影響を与えます。
宛先プラグインが、ユーザーの Grafana 認証トークンを受信する可能性があります。バージョン 9.1.8および 8.5.14には、この問題に対するパッチが含まれています。回避策として、API キー、JWT 認証、または HTTP ヘッダーベースの認証を使用しないでください。(CVE-2022-31130)
- Grafana は、オープンソースの可観測性およびデータ視覚化プラットフォームです。バージョン 8.5.14 および 9.1.8より前のバージョン 5.0.0-beta1 以降、Grafana はユーザーの認証クッキーをプラグインに漏洩する可能性があります。
この脆弱性は、特定の条件下でデータソースとプラグインプロキシのエンドポイントに影響を与えます。宛先プラグインが、ユーザーの Grafana 認証クッキーを受信する可能性があります。バージョン 9.1.8および 8.5.14には、この問題に対するパッチが含まれています。既知の回避策はありません。(CVE-2022-39201)
- Grafana は、メトリクス、ログ、トレース用のオープンソースのデータ視覚化プラットフォームです。9.1.8 および 8.5.14 より前のバージョンでは、あるユーザーが他のユーザーのメールアドレスをユーザー名として登録することで、別のユーザーのログイン試行をブロックすることができます。Grafana ユーザーのユーザー名とメールアドレスは一意のフィールドであるため、他のユーザーが他のユーザーと同じユーザー名またはメールアドレスを持つことはできません。ユーザーは、メールアドレスをユーザー名にすることができます。ただし、ログインシステムでは、ユーザーがユーザー名またはメールアドレスでログインできます。Grafana ではユーザーがユーザー名またはメールアドレスのいずれかでログインできるため、これにより通常の動作が作成され、「user_1」は 1 つのメールアドレスで登録でき、「user_2」はユーザー名を「user_1」のメールアドレスとして登録できます。これにより、「user_1」のパスワードが「user_2」のメールアドレスと一致しないため、「user_1」がアプリケーションにログインすることを防ぎます。バージョン 9.1.8 および 8.5.14 にはパッチが含まれています。この問題についての回避策はありません。(CVE-2022-39229)
- Grafana は、監視および可観測性のためのオープンソースプラットフォームです。9.2.4 より前のバージョン、または 8.X ブランチの 8.5.15 は、不適切な入力検証の対象です。Grafana 管理者は、自分が管理者である組織に他のメンバーを招待することができます。管理者がメンバーを組織に追加すると、非既存のユーザーは招待メールを受け取り、既存のメンバーは組織に直接追加されます。招待リンクが送信されると、ユーザーは任意のユーザー名 / メールアドレスでサインアップし、組織のメンバーになることができます。これにより、悪意のある意図で使用される可能性がある脆弱性が導入されます。この問題はバージョン 9.2.4 でパッチされ、8.5.15 にバックポートされています。既知の回避策はありません。
(CVE-2022-39306)
- Grafana は、監視および可観測性のためのオープンソースプラットフォームです。ログインページでパスワードを忘れた場合、「/api/user/password/sent-reset-email」URL に対して POST リクエストが行われます。ユーザー名または電子メールが存在しない場合、JSON 応答に user not found メッセージが含まれます。これにより、認証されていないユーザーに情報が漏洩し、セキュリティリスクが発生します。この問題は 9.2.4 でパッチされ、8.5.15 にバックポートされています。既知の回避策はありません。(CVE-2022-39307)
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。
ソリューション
影響を受ける grafana パッケージを更新してください。参考資料
https://bugzilla.suse.com/1204302
https://bugzilla.suse.com/1204303
https://bugzilla.suse.com/1204304
https://bugzilla.suse.com/1204305
https://bugzilla.suse.com/1205225
https://bugzilla.suse.com/1205227
https://www.suse.com/security/cve/CVE-2022-31123
https://www.suse.com/security/cve/CVE-2022-31130
https://www.suse.com/security/cve/CVE-2022-39201
https://www.suse.com/security/cve/CVE-2022-39229
https://www.suse.com/security/cve/CVE-2022-39306
プラグインの詳細
深刻度: High
ID: 171401
ファイル名: suse_SU-2023-0362-1.nasl
バージョン: 1.3
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2023/2/14
更新日: 2023/7/14
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: High
基本値: 9.4
現状値: 7
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:N
CVSS スコアのソース: CVE-2022-39306
CVSS v3
リスクファクター: High
基本値: 8.1
現状値: 7.1
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:novell:suse_linux:grafana, cpe:/o:novell:suse_linux:15
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2023/2/10
脆弱性公開日: 2022/10/13
参照情報
CVE: CVE-2022-31123, CVE-2022-31130, CVE-2022-39201, CVE-2022-39229, CVE-2022-39306, CVE-2022-39307
SuSE: SUSE-SU-2023:0362-1