RHEL 8: grafana (RHSA-2023: 5864)

high Nessus プラグイン ID 183365

概要

リモートの Red Hat ホストに 1 つ以上の grafana 用セキュリティ更新プログラムがありません。

説明

リモートの Redhat Enterprise Linux 8 ホストにインストールされているパッケージは、RHSA-2023: 5864 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

- リクエストを迅速に作成し、すぐにリセットする悪意のある HTTP/2 クライアントは、過剰なサーバーリソースの消費を引き起こす可能性があります。リクエストの総数は http2.Server.MaxConcurrentStreams 設定によって制限されますが、進行中のリクエストをリセットすると、攻撃者は既存のリクエストの実行中に新しいリクエストを作成することが可能です。修正が適用されると、HTTP/2 サーバーは同時に実行するハンドラー goroutine の数をストリームの同時実行制限 (MaxConcurrentStreams) に制限するようになりました。制限に達したときに到着する新しいリクエスト (これは、クライアントが既存の処理中のリクエストをリセットした後にのみ発生する可能性があります) は、ハンドラーが終了するまでキューに入れられます。リクエストキューが大きくなりすぎると、サーバーは接続を終了します。この問題は、HTTP/2 を手動で構成するユーザー向けに golang.org/x/net/http2 でも修正されています。デフォルトのストリーム同時実行制限は、HTTP/2 接続あたり 250 ストリーム (リクエスト) です。この値は golang.org/x/net/http2 パッケージを使用して調整できます。Server.MaxConcurrentStreams 設定と ConfigureServer 関数を参照してください。(CVE-2023-39325)

- golang:net/http、x/net/http2:ストリームの高速リセットが過剰な作業を引き起こす可能性があります () (CVE-2023-44487)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

RHEL grafana パッケージを、RHSA-2023: 5864 のガイダンスに基づいて更新してください。

参考資料

http://www.nessus.org/u?06bafa05

https://access.redhat.com/security/updates/classification/#moderate

https://access.redhat.com/security/vulnerabilities/RHSB-2023-003

https://access.redhat.com/errata/RHSA-2023:5864

https://bugzilla.redhat.com/show_bug.cgi?id=2242803

https://bugzilla.redhat.com/show_bug.cgi?id=2243296

プラグインの詳細

深刻度: High

ID: 183365

ファイル名: redhat-RHSA-2023-5864.nasl

バージョン: 1.6

タイプ: local

エージェント: unix

公開日: 2023/10/19

更新日: 2024/11/7

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

Vendor

Vendor Severity: Moderate

CVSS v2

リスクファクター: High

基本値: 7.8

現状値: 6.4

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C

CVSS スコアのソース: CVE-2023-44487

CVSS v3

リスクファクター: High

基本値: 7.5

現状値: 7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

現状ベクトル: CVSS:3.0/E:F/RL:O/RC:C

CVSS v4

リスクファクター: Critical

Base Score: 9.3

Threat Score: 9.3

Threat Vector: CVSS:4.0/E:A

Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

脆弱性情報

CPE: p-cpe:/a:redhat:enterprise_linux:grafana, cpe:/o:redhat:rhel_eus:8.6

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2023/10/18

脆弱性公開日: 2023/10/10

CISA の既知の悪用された脆弱性の期限日: 2023/10/31

参照情報

CVE: CVE-2023-39325, CVE-2023-44487

CWE: 400

IAVB: 2023-B-0083-S

RHSA: 2023:5864