Rocky Linux 8grafanaRLSA-2021:4226

high Nessus プラグイン ID 184684

Language:

概要

リモートの Rocky Linux ホストに、1 つ以上のセキュリティ更新がありません。

説明

リモートのRocky Linux 8ホストには、RLSA-2021:4226アドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

- Grafana 6.7.3 〜 7.4.1 のスナップショット機能により、一般的に使用される構成が設定されている場合、認証されていないリモートの攻撃者がリモート API 呼び出しを介してサービス拒否を引き起こす可能性があります。
(CVE-2021-27358)

- 1.14.14より前のGoおよび1.15.7より前の1.15.xで、crypto / elliptic / p224.goが正しくない出力を生成する可能性があります。これは、P-224フィールドでの最後の完全な低減中の最下行のアンダーフローに関連しています。
(CVE-2021-3114)

- 1.15.13 より前の Go および 1.16.5 より前の 1.16.x には、DNS サーバーからの応答を検証しない DNS 検索用の関数があるため、戻り値に RFC1035 形式に準拠しない安全でない注入 (XSS など) が含まれる可能性があります。(CVE-2021-33195)

- 1.16.5より前の1.15.13および 1.16.xの Go において、ReverseProxy (net/http/httputil からの) の構成の一部は、攻撃者が任意のヘッダーをドロップできる状況に陥ります。
(CVE-2021-33197)

- 1.16.5までのGoのcrypto/tlsパッケージは、RSAベースの鍵交換を行う際に、X.509証明書の公開鍵のタイプが期待されるタイプと一致することを適切にアサーションしません。これにより、悪質なTLSサーバーがTLSクライアントにパニックを引き起こします。(CVE-2021-34558)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。