openSUSE 15 セキュリティ更新 : SUSE Manager Client Tools (SUSE-SU-2023:0353-1)

high Nessus プラグイン ID 171431

Language:

概要

リモートの openSUSE ホストに 1 つ以上のセキュリティアップデートがありません。

説明

リモートの openSUSE 15 ホストには、SUSE-SU-2023:0353-1 のアドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

- Grafana は、オープンソースの可観測性およびデータ視覚化プラットフォームです。9.1.8 および 8.5.14 より前のバージョンは、プラグイン署名検証のバイパスに対して脆弱です。署名されていないプラグインが許可されていなくても、攻撃者はサーバー管理者に悪意のあるプラグインをダウンロードして正常に実行するよう誘導する可能性があります。
バージョン 9.1.8および 8.5.14には、この問題に対するパッチが含まれています。回避策として、信頼できないソースからダウンロードしたプラグインをインストールしないでください。(CVE-2022-31123)

- Grafana は、オープンソースの可観測性およびデータ視覚化プラットフォームです。9.1.8 および 8.5.14 より前のバージョンの Grafana は、特定の状況で、認証トークンを一部の宛先プラグインに漏洩する可能性があります。この脆弱性は、認証トークンを持つデータソースとプラグインプロキシのエンドポイントに影響を与えます。
宛先プラグインが、ユーザーの Grafana 認証トークンを受信する可能性があります。バージョン 9.1.8および 8.5.14には、この問題に対するパッチが含まれています。回避策として、API キー、JWT 認証、または HTTP ヘッダーベースの認証を使用しないでください。(CVE-2022-31130)

- Grafana は、オープンソースの可観測性およびデータ視覚化プラットフォームです。バージョン 8.5.14 および 9.1.8より前のバージョン 5.0.0-beta1 以降、Grafana はユーザーの認証クッキーをプラグインに漏洩する可能性があります。
この脆弱性は、特定の条件下でデータソースとプラグインプロキシのエンドポイントに影響を与えます。宛先プラグインが、ユーザーの Grafana 認証クッキーを受信する可能性があります。バージョン 9.1.8および 8.5.14には、この問題に対するパッチが含まれています。既知の回避策はありません。(CVE-2022-39201)

- Grafana は、メトリクス、ログ、トレース用のオープンソースのデータ視覚化プラットフォームです。9.1.8 および 8.5.14 より前のバージョンでは、あるユーザーが他のユーザーのメールアドレスをユーザー名として登録することで、別のユーザーのログイン試行をブロックすることができます。Grafana ユーザーのユーザー名とメールアドレスは一意のフィールドであるため、他のユーザーが他のユーザーと同じユーザー名またはメールアドレスを持つことはできません。ユーザーは、メールアドレスをユーザー名にすることができます。ただし、ログインシステムでは、ユーザーがユーザー名またはメールアドレスでログインできます。Grafana ではユーザーがユーザー名またはメールアドレスのいずれかでログインできるため、これにより通常の動作が作成され、「user_1」は 1 つのメールアドレスで登録でき、「user_2」はユーザー名を「user_1」のメールアドレスとして登録できます。これにより、「user_1」のパスワードが「user_2」のメールアドレスと一致しないため、「user_1」がアプリケーションにログインすることを防ぎます。バージョン 9.1.8 および 8.5.14 にはパッチが含まれています。この問題についての回避策はありません。(CVE-2022-39229)

- Grafana は、監視および可観測性のためのオープンソースプラットフォームです。9.2.4 より前のバージョン、または 8.X ブランチの 8.5.15 は、不適切な入力検証の対象です。Grafana 管理者は、自分が管理者である組織に他のメンバーを招待することができます。管理者がメンバーを組織に追加すると、非既存のユーザーは招待メールを受け取り、既存のメンバーは組織に直接追加されます。招待リンクが送信されると、ユーザーは任意のユーザー名 / メールアドレスでサインアップし、組織のメンバーになることができます。これにより、悪意のある意図で使用される可能性がある脆弱性が導入されます。この問題はバージョン 9.2.4 でパッチされ、8.5.15 にバックポートされています。既知の回避策はありません。
(CVE-2022-39306)

- Grafana は、監視および可観測性のためのオープンソースプラットフォームです。ログインページでパスワードを忘れた場合、「/api/user/password/sent-reset-email」URL に対して POST リクエストが行われます。ユーザー名または電子メールが存在しない場合、JSON 応答に user not found メッセージが含まれます。これにより、認証されていないユーザーに情報が漏洩し、セキュリティリスクが発生します。この問題は 9.2.4 でパッチされ、8.5.15 にバックポートされています。既知の回避策はありません。(CVE-2022-39307)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。