CentOS 9 : grafana-9.0.9-1.el9
high Nessus プラグイン ID 191236
Language:
概要
リモートの CentOS ホストに 1 つ以上の grafana 用セキュリティ更新プログラムがありません。説明
リモートの CentOS Linux 9 ホストに、grafana-9.0.9-1.el9 ビルド変更ログに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。- XSS (CVE-2021-23648)
- Grafana は、オープンソースのデータ視覚化プラットフォームです。影響を受けるバージョンでは、認証されていないユーザーおよび認証されたユーザーが、リテラルパス (/dashboard/snapshot/:key、または /api/snapshots/:key) にアクセスすることで、最も低いデータベースキーでスナップショットを表示できます。スナップショット public_mode 構成設定が true (デフォルトは false) に設定されている場合、認証されていないユーザーは、リテラルパス (/api/snapshots-delete/:deleteKey) にアクセスすることで、最も低いデータベースキーでスナップショットを削除できます。スナップショット public_mode の設定に関わらず、認証されているユーザーは、リテラルパス (/api/snapshots/:key、または /api/snapshots-delete/:deleteKey) にアクセスすることで、最も低いデータベースキーでスナップショットを削除できます。削除と表示の組み合わせにより、すべてのスナップショットデータを完全にウォークスルーすることができますが、スナップショットデータは完全に失われます。この問題はバージョン8.1.6および7.5.11で解決済みです。何らかの理由でアップグレードできない場合は、リバースプロキシなどを使用して、リテラルパスへのアクセスをブロックできます。
/api/snapshots/:key、/api/snapshots-delete/:deleteKey、/dashboard/snapshot/:key、/api/snapshots/:key。
これらには通常の機能がなく、制度エフェクトなしに無効化できます。(CVE-2021-39226)
- *.md ファイルのディレクトリトラバーサル脆弱性 (CVE-2021-43813)
- net/http: ヘッダー正規化キャッシュの増加を制限 (CVE-2021-44716)
- net/http: Transfer-Encoding ヘッダーの不適切なサニタイズ (CVE-2022-1705)
- go/parser: すべての Parse * 関数におけるスタックの枯渇 (CVE-2022-1962)
- Forward OAuth Identity Token により、ユーザーは一部のデータソースにアクセスできる場合があります (CVE-2022-21673)
- client_golang は、Prometheus の Go アプリケーション用のインストルメンテーションライブラリであり、client_golang の promhttp パッケージは、HTTP サーバーおよびクライアントに関連するツールを提供します。バージョン 1.11.1より前の client_golang では、HTTP サーバーは、非標準の HTTP メソッドでリクエストを処理する際に、無制限のカーディナリティによる潜在的なサービス拒否やメモリ枯渇の可能性があります。影響を受けるのは、インストルメント化されたソフトウェアは「RequestsInFlight」を除く「promhttp.InstrumentHandler *」ミドルウェアのいずれかを使用する場合です。
ミドルウェアの前に特定のメソッド (例:GET) をフィルタリングせず、「method」ラベル名のメトリクスをミドルウェアに渡し、不明な「メソッド」を持つリクエストをフィルタリングする firewall/LB/proxy がありません。
client_golang バージョン 1.11.1には、この問題のパッチが含まれています。いくつかの回避策が利用可能です。これには、InstrumentHandler で使用されるカウンター/ゲージからの「メソッド」ラベル名の削除が含まれます。影響を受ける promhttp ハンドラーをオフにします。Promhttp ハンドラーの前にカスタムミドルウェアを追加し、Go http.Request によって指定されたリクエストメソッドをサニタイズします。リバースプロキシまたは Web アプリケーションファイヤーウォールを使用し、一部のメソッドのみを許可するように構成されています。(CVE-2022-21698)
- データソース処理における XSS の脆弱性 (CVE-2022-21702)
- CSRF の脆弱性により、権限昇格につながる可能性があります (CVE-2022-21703)
- IDOR の脆弱性により、情報漏洩が発生する可能性があります (CVE-2022-21713)
- encoding/xml: Decoder.Skip でのスタックの枯渇 (CVE-2022-28131)
- io/fs: Glob でのスタックの枯渇 (CVE-2022-30630)
- compress/gzip: Reader.Read のスタックの枯渇 (CVE-2022-30631)
- path/filepath: Glob でのスタックの枯渇 (CVE-2022-30632)
- encoding/xml: Unmarshal でのスタックの枯渇 (CVE-2022-30633)
- encoding/gob: Decoder.Decode でのスタックの枯渇 (CVE-2022-30635)
- OAuth アカウント乗っ取り (CVE-2022-31107)
- net/http/httputil: NewSingleHostReverseProxy (CVE-2022-32148)
- 認証プロキシ使用時の管理者からサーバー管理者への昇格 (rhbz#2125530)(CVE-2022-35957)
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
CentOS 9 Stream grafana パッケージを更新してください。参考資料
https://kojihub.stream.centos.org/koji/buildinfo?buildID=25085
プラグインの詳細
深刻度: High
ID: 191236
ファイル名: centos9_grafana-9_0_9-1.nasl
バージョン: 1.1
タイプ: local
エージェント: unix
ファミリー: CentOS Local Security Checks
公開日: 2024/2/29
更新日: 2024/4/26
サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: Medium
基本値: 6.8
現状値: 5.6
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
CVSS スコアのソース: CVE-2022-21703
CVSS v3
リスクファクター: High
基本値: 8.8
現状値: 8.2
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:F/RL:O/RC:C
脆弱性情報
CPE: cpe:/a:centos:centos:9, p-cpe:/a:centos:centos:grafana
必要な KB アイテム: Host/local_checks_enabled, Host/CentOS/release, Host/CentOS/rpm-list, Host/cpu
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2022/9/22
脆弱性公開日: 2021/10/5
CISA の既知の悪用された脆弱性の期限日: 2022/9/15
参照情報
CVE: CVE-2021-23648, CVE-2021-39226, CVE-2021-43813, CVE-2021-44716, CVE-2022-1705, CVE-2022-1962, CVE-2022-21673, CVE-2022-21698, CVE-2022-21702, CVE-2022-21703, CVE-2022-21713, CVE-2022-28131, CVE-2022-30630, CVE-2022-30631, CVE-2022-30632, CVE-2022-30633, CVE-2022-30635, CVE-2022-31107, CVE-2022-32148, CVE-2022-35957