検出

SUSE SLES15 / openSUSE 15 セキュリティ更新 : golang-github-prometheus-prometheus (SUSE-SU-2024:3288-1)

medium Nessus プラグイン ID 207376

Language:

概要

リモートの SUSE ホストに 1 つ以上のセキュリティ更新がありません。

説明

リモートの SUSE Linux SLES15/ openSUSE 15 ホストには、SUSE-SU-2024:3288-1 のアドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

 - ビルドに Go > 1.20 が必要

 - go-retryablehttp をバージョン 0.7.7 に更新します (CVE-2024-6104、bsc#1227038)
 - 「disabled」サービスモードから「manual」サービスモードに移行します
 - Add0003-Bump-go-retryablehttp.patch
 - 2.45.6 に更新してください (jsc#PED-3577):
 * 依存関係のセキュリティ修正
 - 2.45.5 へ更新します
 * [バグ修正] tsdb/agent: ロールバック時に新しいシリーズが WAL に書き込まれるようにします。
 * [バグ修正] リモート書き込み: 設定を適用する際の競合状態を回避します。
 - 2.45.4 へ更新します
 * [バグ修正] リモート読み取り: 結果をエンコードする前に、クエリアリソースを解放します。
 - 2.45.3 へ更新します
 * 依存関係のセキュリティ修正
 * [バグ修正] TSDB: シャットダウン時の二重メモリのスナップショットを削除します。
 - 2.45.2 へ更新します
 * 依存関係のセキュリティ修正
 * [セキュリティ] otelhttp をバージョン 0.46.1 に更新しました (CVE-2023-45142、bsc#1228556)
 * [バグ修正] TSDB: 新しいシリーズの作成による PostingsForMatchers 競合を修正します。
 - 2.45.1 へ更新します
 * [機能強化] Hetzner SD: 9 月に Hetzner によって使用される、より大きな ID をサポートします。
 * [バグ修正] Linode SD: InstanceSpec の値を int64 にキャストし、386 アーキテクチャでのオーバーフローを回避します。
 * [バグ修正] TSDB: TOC 解析の失敗を処理します。

 - 2.45.0 に更新してください (jsc#PED-5406):
 * [機能] API:「/api/v1/status/tsdb」エンドポイントによって返されるアイテム数を制限する新しい制限パラメーター。
 * [機能] 構成: グローバル構成に制限を追加します。
 * [機能] Consul SD:「path_prefix」のサポートを追加しました。
 * [機能] ネイティブヒストグラム: 従来のヒストグラムとネイティブヒストグラムの両方をスクレイプするオプションを追加します。
 * [機能] ネイティブヒストグラム: さらに 2 つの算術演算子「avg_over_time」および「sum_over_time」のサポートを追加しました。
 * [機能] Promtool: ブロック ID を提供するとき、1 つのブロックのみがロードされ、分析されます。
 * [機能] リモート書き込み: Azure Monitor ワークスペースへの直接のリモート書き込みをサポートするための、新しい Azure AD 設定。
 * [機能] TSDB: チャンクあたりのサンプルは、フラグ「storage.tsdb.samples-per-chunk」で構成できるようになりました。デフォルトでは、以前の値である 120 に設定されます。
 * [機能] ネイティブヒストグラム: スクレイプの失敗を回避するために、バケットサイズを制限できるようになりました。
 * [機能強化] TSDB: ドロップされたシリーズは現在、WAL からより早く削除されます。
 * [バグ修正] ネイティブヒストグラム: ChunkSeries 反復子は、新しいサンプルをオープンチャンクに追加できるかどうかをチェックするようになりました。
 * [バグ修正] ネイティブヒストグラム: ヒストグラム Appender の「Appendable()」セグメンテーション違反を修正します。
 * [バグ修正] ネイティブヒストグラム: seriesToChunkEncoder でヒストグラムを計測するためのリセットヘッダーの設定を修正します。
 * [バグ修正] TSDB: Tombstone 間隔が Get() 呼び出し後に変更されません。
 * [バグ修正] TSDB: パス/ファイルパスを使用して、WAL ディレクトリを設定します。
 - 2.44.0への更新:
* [機能] Remote-read: ネイティブのヒストグラムを処理します。
 * [機能] Promtool: CLI での prometheus サーバーの正常性と準備状況のチェック。
 * [機能] PromQL: すべてのクエリによってロードされたサンプルの総数である「query_samples_total」メトリクスを追加します。
 * [機能強化] ストレージ: サンプルを反復するために使用されるバッファを最適化します。
 * [機能強化] スクレイプ: ターゲットラベルのメモリ割り当てを削減します。
 * [機能強化] PromQL:「topk()」/「bottomk()」に対してより高速なヒープメソッドを使用します。
 * [機能強化] Rules API: ルール名によるフィルタリングを許可します。
 * [機能強化] ネイティブヒストグラム: さまざまな修正と改善。
 * [機能強化] UI: スクレイピングプールの検索では、大文字と小文字が区別されません。
 * [機能強化] TSDB: WAL 修復の成功に対して肯定的なログメッセージを追加します。
 * [バグ修正] TSDB: シャットダウン時にブロックコンパクションが失敗しました。
 * [バグ修正] TSDB: 後書きログが削除された場合、異常なチャンクが無視される可能性がありました。
 - パッチ 0001-Do-not-force-the-pure-Go-name-resolver.patchonto v2.44.0 をリベースします
 - 2.43.1 への更新
 * [バグ修正] Labels: Del() の後の Set() が無視され、再ラベル付けルールに違反していました。
 - 2.43.0への更新:
* [機能] Promtool: HTTP クライアント設定をクエリコマンドに追加します。
 * [機能] スクレイプ:「include_scrape_configs」を追加して、異なるファイルからのスクレイプ構成を含めます。
 * [機能] HTTP クライアント:「no_proxy」を追加して、プロキシ化されたリクエストから URL を除外します。
 * [機能] HTTP クライアント:「proxy_from_enviroment」を追加し、環境変数からプロキシを読み取ります。
 * [機能] API: API を介してクエリごとにルックバックデルタを設定するためのサポートを追加します。
 * [機能] API: リクエストがキャンセルされた場合、HTTP ステータスコードを 503/422 から 499 に変更します。
 * [機能強化] スクレイプ: すべてのメトリクスタイプに対してエグサンプラを許可します。
 * [機能強化] TSDB: ヘッドチャンクと WAL フォルダサイズのメトリクスを追加します。
 * [機能] TSDB: WAL よりも進んでいるインデックスで不適切なスナップショットを自動的に削除します。
 * [機能] TSDB: Prometheus パーサーのエラー出力を改善し、より理解しやすくします。
 * [機能] UI:「グループ化」ラベルの範囲をオートコンプリートのメトリクスに適用します。
 * [バグ修正] スクレイプ: リロード前に設定されていない「prometheus_target_scrape_pool_target_limit」メトリクスを修正します。
 * [バグ修正] TSDB: WAL を読み取る際に、「prometheus_tsdb_head_chunks_removed_total」および「prometheus_tsdb_head_chunks」メトリクスを正しく更新します。
 * [バグ修正] TSDB:「prometheus_tsdb_sample_ooo_delta」メトリクスの順序正しくない追加デルタを記録する際に、正しい単位 (秒) を使用します。
 - 2.42.0への更新:
このリリースには、ネイティブヒストグラムと重大な変更をカバーする多数の機能が含まれています。
 ネイティブのヒストグラムを既に試している場合は、アップグレード時に「wal」ディレクトリを削除することを推奨します。
 ネイティブヒストグラムの古い WAL レコードには v2.42.0 の後方互換性がないため、最新データのデータの一部が失われます。
 さらに、「浮動小数点ヒストグラム」をスクレイプするか、v2.42.0 のネイティブヒストグラム (浮動ヒストグラムを書き込む) で記録ルールを使用する場合、古いバージョンは浮動ヒストグラムをサポートしていないため、一方向になります。
 * [変更] **破損** TSDB: 実験的なネイティブヒストグラムの WAL レコード形式を変更しました。
 * [機能] 「keep_firing_for」フィールドをアラートルールに追加します。
 * [機能] Promtool: TSDB ダンプの時系列を選択するサポートを追加します。
 * [機能強化] エージェント: ネイティブヒストグラムサポート。
 * [機能強化] ルール: 記録ルールのネイティブヒストグラムをサポートします。
 * [機能強化] SD: Kubernetes のポッドターゲットのメタラベルとしてコンテナ ID を追加します。
 * [機能強化] SD: Azure サービス検出に VM サイズラベルを追加します。
 * [機能強化] フェデレーションでのネイティブヒストグラムをサポートします。
 * [機能強化] TSDB: ゲージヒストグラムサポートを追加します。
 * [機能強化] TSDB/Scrape: バケットを float64 値として表す FloatHistogram をサポートします。
 * [機能強化] UI: /targets ページに個別のスクレイププールを表示します。
 - 2.41.0への更新:
* [機能] ラベル変更: keepequal および dropequal のラベル変更アクションを追加します。
 * [機能] HTTP プロキシヘッダーのサポートを追加します。
 * [機能強化] ディスク上で変更された場合にプライベート証明書をリロードします。
 * [機能強化] max_version を追加し、tls_config の最大 TLS バージョンを指定します。
 * [機能強化] goos および goarch ラベルを prometheus_build_info に追加します。
 * [機能強化] SD: EC2 と LightSail の SD のプロキシサポートを追加します。
 * [機能強化] SD: 新しいメトリクス prometheus_sd_file_watcher_errors_total を追加します。
 * [機能強化] リモート読み取り: プールを使用してマーシャリングを高速化します。
 * [機能強化] TSDB: 反復子で tombstoned チャンクの処理を改善します。
 * [機能強化] TSDB: ポスティングオフセットテーブル読み取りを最適化します。
 * [バグ修正] スクレイプ: 再ラベル付け後に、メトリクス名、ラベル名、ラベル値を検証します。
 * [バグ修正] Remote Write レシーバーおよびルールマネージャー: エラー処理を修正します。
 - 2.40.7への更新:
* [バグ修正] TSDB: ネイティブヒストグラムの負のバケットを含むクエリを修正します。
 - 2.40.5への更新:
* [バグ修正] TSDB: 反復子の不適切なリセットによる、ネイティブヒストグラムに関連するクエリを修正します。
 - 2.40.3への更新:
* [バグ修正] TSDB: 削除が呼び出された後のコンパクションを修正します。
 - 2.40.2への更新:
* [バグ修正] UI: ダークモードでの、black-on-black のメトリクス名の色を修正します。
 - 2.40.1への更新:
* [バグ修正] TSDB: 32 ビットアーキテクチャ用の atomic int64 のアライメントを修正します。
 * [バグを修正] スクレイプ: アクセプトヘッダーを修正します。
 - 2.40.0への更新:
* [機能] ネイティブヒストグラムの実験的なサポートを追加します。
 フラグ --enable-feature=native-histograms で有効にします。
 * [機能] SD: OVHcloud のサービス検出を追加します。
 * [機能強化] Kubernetes SD: protobuf エンコーディングを使用します。
 * [機能強化] TSDB: ソート速度を改善するために golang.org/x/exp/slices を使用します。
 * [機能強化] Consul SD: エンタープライズ管理者パーティションを追加します。追加
 __meta_consul_partition ラベル。consul_sd_config でパーティション構成を追加します。
 * [バグ修正] API: /api/v1/labels および /api/v1/series の API エラーコードを修正します。
 - 2.39.1への更新:
* [バグ修正] ルール: アクティブなアラートのラベルを変更する通知機能の再ラベルを修正します。
 - 2.39.0への更新:
* [機能] 実験的な TSDB: 故障したサンプルの取り込みに対するサポートを追加します。これは、構成ファイルの out_of_order_time_window フィールドを介して構成されます。詳細については、構成ファイルのドキュメントを確認してください。
 * [機能強化] API: /-/healthy および /-/ready の API 呼び出しも、既存の GET サポートに加えて HEAD リクエストに応答するようになりました。
 * [機能強化] PuppetDB SD: __meta_puppetdb_query ラベルを追加します。
 * [機能強化] AWS EC2 SD: __meta_ec2_region ラベルを追加します。
 * [機能強化] AWS Lightsail SD: __meta_lightsail_region ラベルを追加します。
 * [機能強化] スクレイプ: メモリを再利用することで再ラベル付けを最適化します。
 * [機能強化] TSDB: WAL のリプレイタイミングを改善します。
 * [機能強化] TSDB: 不要なデータをメモリに保存しないようにしてメモリを最適化します。
 * [機能強化] TSDB: デフォルトでブロックの重複を許可します。
 --storage.tsdb.allow-overlapping-blocks は現在、効果がありません。
 * [機能強化] UI: クリックすると、ラベルと値のペアがクエリ結果からクリップボードにコピーされます。
 * [バグ修正] TSDB: メモリリークを修正するためにヘッドコンパクションのアイソレーションをオフにします。
 * [バグ修正] TSDB: Prometheus 起動時の「無効なマジック番号 0」エラーを修正します。
 * [バグ修正] PromQL: 未完了のクエリをログする際に、ファイル記述子を適切に閉じます。
 * [バグ修正] エージェント: フラグオプションの検証を修正し、WAL が必要以上に大きくならないようにします。
 - 2.38.0への更新:
* [機能]: ウェブ: /api/v1/format_query HTTP API エンドポイントを追加します。これにより、PromQL 式のプリティフォーマット化が可能になります。
 * [機能]: UI: UI で PromQL 式をフォーマットするためのサポートを追加します。
 * [機能]: DNS SD: ターゲットを検出するために MX レコードをサポートします。
 * [機能]: テンプレート: サンプルタイムスタンプを Go time.Time 値に変換できる toTime() テンプレート関数を追加します。
 * [機能強化]: Kubernetes SD:
サービスポート番号を示す __meta_kubernetes_service_port_number メタラベルを追加します。
 * [機能強化]: Kubernetes SD:
コンテナイメージを示す __meta_kubernetes_pod_container_image メタラベルを追加します。
 * [機能強化]: PromQL: クエリがパニックしたとき、パニックメッセージとともにクエリ自体もログ記録します。
 * [機能強化]: UI: コントラスト比を改善するために、ダークテーマの色を微調整します。
 * [機能強化]: ウェブ: ロックを回避し、代わりにアトミックタイプを使用することで、/api/v1/rules への呼び出しを高速化します。
 * [機能強化]: スクレイプ: no-default-scrape-port 機能フラグを追加します。これにより、ターゲットのスクレイプアドレスのデフォルトの HTTP (:80) または HTTPS (:443) ポートが省略または削除されます。
 * [バグ修正]: TSDB: WAL ウォッチャーメトリクスで、見本レコードの type='unknown' の代わりに type='exemplar' ラベルを漏洩します。
 * [バグ修正]: TSDB: チャンクスナップショットのロード中のシリーズ ID の割り当てに関する競合状態を修正します。

 - 「make clean」中に npm_licenses.tar.bz2 を削除します

 - 「make clean」中に web-ui アーカイブを削除します。

 * [セキュリティ] CVE-2022-41715: 正規表現の解析により使用されるメモリを制限します (bsc#1204023)。
 - Go をバージョン 1.20.1 に更新することで、制御されないリソース消費を修正します (CVE-2022-41723、bsc#1208298)

Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受ける firewalld-prometheus-config や golang-github-prometheus-prometheus パッケージを更新してください。

参考資料

https://bugzilla.suse.com/1204023

https://bugzilla.suse.com/1208298

https://bugzilla.suse.com/1227038

https://bugzilla.suse.com/1228556

http://www.nessus.org/u?e8def975

https://www.suse.com/security/cve/CVE-2022-41715

https://www.suse.com/security/cve/CVE-2022-41723

https://www.suse.com/security/cve/CVE-2023-45142

https://www.suse.com/security/cve/CVE-2024-6104

プラグインの詳細

深刻度: Medium

ID: 207376

ファイル名: suse_SU-2024-3288-1.nasl

バージョン: 1.1

タイプ: local

エージェント: unix

公開日: 2024/9/18

更新日: 2024/9/18

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.4

CVSS v2

リスクファクター: Medium

基本値: 4.6

現状値: 3.4

ベクトル: CVSS2#AV:L/AC:L/Au:S/C:C/I:N/A:N

CVSS スコアのソース: CVE-2024-6104

CVSS v3

リスクファクター: Medium

基本値: 5.5

現状値: 4.8

ベクトル: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:suse_linux:golang-github-prometheus-prometheus, cpe:/o:novell:suse_linux:15

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2024/9/17

脆弱性公開日: 2022/10/4

参照情報

CVE: CVE-2022-41715, CVE-2022-41723, CVE-2023-45142, CVE-2024-6104

SuSE: SUSE-SU-2024:3288-1