Oracle Linux 9 : grafana (ELSA-2024-9115)

critical Nessus プラグイン ID 211529

概要

リモートの Oracle Linux ホストに、1 つ以上のセキュリティ更新プログラムがありません。

説明

リモートの Oracle Linux 9 ホストに、ELSA-2024-9115アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

CVE-2023-39325 CVE-2023-44487 のストリームの高速リセットが過剰な作業を引き起こす可能性を修正
- CVE-2023-3128 grafana を解決: Azure AD OAuth 使用時にアカウント乗っ取りが行われる可能性
- CVE-2022-39229 grafana を解決: メールをユーザー名として使用した際に、他のユーザーのサインインが妨げられる可能性
- CVE-2022-2880 CVE-2022-41715 grafana を解決: さまざまな欠陥
- CVE-2022-35957 grafana を解決: 認証プロキシ使用時の管理者からサーバー管理者への昇格 (rhbz#2125530)
- CVE-2022-1962 golang を解決: go/parser: すべての Parse * 関数におけるスタックの枯渇
- CVE-2022-1705 golang を解決: net/http: Transfer-Encoding ヘッダーの不適切なサニタイズ
- CVE-2022-32148 golang を解決: golang: net/http/httputil: NewSingleHostReverseProxy - 機能していない X-Forwarded-For の除外
- CVE-2022-30631 golang を解決: compress/gzip: Reader.Read でのスタックの枯渇
- CVE-2022-30630 golang を解決: io/fs: Glob でのスタックの枯渇
- CVE-2022-30632 golang を解決: path/filepath: Glob でのスタックの枯渇
- CVE-2022-30635 golang を解決: encoding/gob: Decoder.Decode でのスタックの枯渇
- CVE-2022-28131 golang を解決: encoding/xml: Decoder.Skip でのスタックの枯渇
- CVE-2022-30633 golang を解決: encoding/xml: Unmarshal でのスタックの枯渇

Tenable は、前述の記述ブロックを Oracle Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受ける grafana や grafana-selinux パッケージを更新してください。

参考資料

https://linux.oracle.com/errata/ELSA-2024-9115.html

プラグインの詳細

深刻度: Critical

ID: 211529

ファイル名: oraclelinux_ELSA-2024-9115.nasl

バージョン: 1.1

タイプ: local

エージェント: unix

公開日: 2024/11/19

更新日: 2024/11/19

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Continuous Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 7.4

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2024-24790

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 8.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:oracle:linux:grafana, p-cpe:/a:oracle:linux:grafana-selinux, cpe:/a:oracle:linux:9:5:appstream_base, cpe:/a:oracle:linux:9::appstream, cpe:/o:oracle:linux:9

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/OracleLinux

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2024/11/14

脆弱性公開日: 2024/5/8

参照情報

CVE: CVE-2024-24788, CVE-2024-24789, CVE-2024-24790, CVE-2024-24791, CVE-2024-6104

IAVB: 2024-B-0052-S, 2024-B-0071-S