SUSE SLES15/openSUSE 15 セキュリティ更新: grafana (SUSE-SU-2025:01991-1)
critical Nessus プラグイン ID 240835
Language:
概要
リモートの SUSE ホストに 1 つ以上のセキュリティ更新がありません。説明
リモートの SUSE Linux SLES15 / openSUSE 15 ホストには、SUSE-SU-2025:01991-1 のアドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。grafana はバージョン 10.4.15 から 11.5.5 に更新されましたjsc#PED-12918
- 修正されたセキュリティ問題:
* CVE-2025-4123クロスサイトスクリプティングの脆弱性を修正しますbsc#1243714。
* CVE-2025-22872golang.org/x/net/html を更新しますbsc#1241809
* CVE-2025-3580サーバー認証されていないサーバー管理者の削除を阻止しますbsc#1243672。
* CVE-2025-29923github.com/redis/go-redis/v9 を に更新します 9.6.3。
* CVE-2025-3454ルートへのアクセスを評価する前にパスをサニタイズしますbsc#1241683。
* CVE-2025-2703組み込み XY Chart プラグインを修正しますbsc#1241687。
* CVE-2025-22870golang.org/x/net を更新しますbsc#1238703
* CVE-2024-9476Migration Assistant の問題を修正bsc#1233343
* CVE-2024-9264SQL 式bsc#1231844
* CVE-2023-45288golang.org/x/net を更新しますbsc#1236510
* CVE-2025-22870golang.org/x/net をバージョン に更新します 0.37.0bsc#1238686]
- バージョン での潜在的な破損変更 11.5.0
* Loki/series API の代わりにクエリパラメーターで /labels API をデフォルトにします。
- バージョン での潜在的な破損変更 11.0.1
* 以前に「Portugu?s Brasileiro」として言語を選択していた場合は、これはリセットされます。修正を適用するには、環境設定でもう一度選択する必要があり、翻訳が表示されます。
- バージョン での潜在的な破損変更 11.0.0
* AngularJS サポートはデフォルトではオフになっています。
* 従来のアラートは完全に削除されます。
* サブフォルダーは、名前にスラッシュがあるフォルダーで非常に稀な問題を引き起こします。
* 入力データソースが削除されます。
* データソース非表示のクエリに関連する応答は、Grafana によって削除フィルターされます。
* 個別の繰り返しパネルを表示する際に生成される URL が変更されました。
* React Router は廃止予定です。
* grafana/e2e テストツールは廃止されました。
- この更新により、多くの新機能、拡張機能、修正が提供されます (以下で説明されています):
* https://grafana.com/docs/grafana/next/whatsnew/whats-new-in-v11-5/* https://grafana.com/docs/grafana/next/whatsnew/whats-new-in-v11-4/* https://grafana.com/docs/grafana/next/whatsnew/whats-new-in-v11-3/* https://grafana.com/docs/grafana/next/whatsnew/whats-new-in-v11-2/* https://grafana.com/docs/grafana/next/whatsnew/whats-new-in-v11-1/* https://grafana.com/docs/grafana/next/whatsnew/whats-new-in-v11-0/
Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受ける grafana パッケージを更新してください。参考資料
https://bugzilla.suse.com/1231844
https://bugzilla.suse.com/1233343
https://bugzilla.suse.com/1236510
https://bugzilla.suse.com/1236516
https://bugzilla.suse.com/1238686
https://bugzilla.suse.com/1238703
https://bugzilla.suse.com/1241683
https://bugzilla.suse.com/1241687
https://bugzilla.suse.com/1241809
https://bugzilla.suse.com/1243672
https://bugzilla.suse.com/1243714
https://lists.suse.com/pipermail/sle-updates/2025-June/040347.html
https://www.suse.com/security/cve/CVE-2023-45288
https://www.suse.com/security/cve/CVE-2024-9264
https://www.suse.com/security/cve/CVE-2024-9476
https://www.suse.com/security/cve/CVE-2025-22870
https://www.suse.com/security/cve/CVE-2025-22872
https://www.suse.com/security/cve/CVE-2025-2703
プラグインの詳細
深刻度: Critical
ID: 240835
ファイル名: suse_SU-2025-01991-1.nasl
バージョン: 1.1
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2025/6/27
更新日: 2025/6/27
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: High
基本値: 9
現状値: 7
ベクトル: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:C
CVSS スコアのソース: CVE-2024-9264
CVSS v3
リスクファクター: High
基本値: 8.8
現状値: 7.9
ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
CVSS v4
リスクファクター: Critical
Base Score: 9.4
Threat Score: 8.6
Threat Vector: CVSS:4.0/E:P
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H
脆弱性情報
CPE: p-cpe:/a:novell:suse_linux:grafana, cpe:/o:novell:suse_linux:15
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2025/6/18
脆弱性公開日: 2024/4/4
参照情報
CVE: CVE-2023-45288, CVE-2024-9264, CVE-2024-9476, CVE-2025-22870, CVE-2025-22872, CVE-2025-2703, CVE-2025-29923, CVE-2025-3454
IAVB: 2024-B-0142-S, 2024-B-0174-S
SuSE: SUSE-SU-2025:01991-1