openSUSE 16セキュリティ更新プログラム:grafana(openSUSE-SU-2026:21351-1)

medium Nessus プラグイン ID 327226

Language:

概要

リモートの openSUSE ホストに 1 つ以上のセキュリティ アップデートがありません。

説明

リモートの openSUSE 16 ホストに、複数の脆弱性の影響を受けているパッケージがインストールされています。これらの脆弱性は openSUSE-SU-2026:21351-1 アドバイザリで言及されています。

grafana の変更点:

- UI Web アセットを追加のソース tarball として追加します

- バージョン 12.4.5 への更新(jsc#PED-16512):
* Datasources:ペイロード UID が PUT の URL UID と一致しない場合、400 を返します/api/datasources/uid/:uid

- バージョン 12.4.4 への更新:
* セキュリティと品質の更新。
* さまざまなバグ修正と拡張機能。

- バージョン 12.4.3 への更新:
* 分析:内部ダッシュボード ID を保持。
* Go: 1.25.9 に更新します。
* レポート作成:レポート設定リクエストに appSubURL を適切に適用します。
* alerting:Grafana HA Alertmanagerクラスターメトリックプレフィックスの変更を文書化します。

- バージョン 12.4.2 への更新:
* さまざまなバグ修正とパフォーマンス向上。
* 依存関係がコアプラグインおよび UI ライブラリに更新されます。

- バージョン 12.4.1 への更新:
* バグ修正とマイナーな生活の質の向上。
* データソースプロビジョニングおよびダッシュボードスキーマの更新。

- バージョン 12.4.0 への更新:
* 動的ダッシュボードをパブリックプレビューで導入しました。
* 上部の 2 番目のツールバーを置き換える新しいサイドツールバーを追加し、追加の垂直方向スペースを確保しました。
* サンプルデータを使用してテンプレートからダッシュボードを作成する機能を追加しました。
* 丸みを帯びたバー、設定可能なバー太さ、およびエンドポイントマーカーでゲージの視覚化を刷新しました。
* 1 つの変数を複数の値にマッピングするサポートを追加しました。
* CVE-2025-12141:Grafanaアラートでの情報漏えいを修正しました(bsc#1262187)

- バージョン 12.3.0 への更新:
* 完全に再設計されたログのビジュアライゼーションをリリースしました。
* ダッシュボードを PNG 画像として直接エクスポートする機能を追加しました。
* Grafana UI 内にインタラクティブな学習体験を導入しました。
* クエリ内の値を素早く切り替えるために、Switch テンプレート変数タイプを追加しました。
* フィールドセルオプションを介して CSS プロパティを使用してテーブルセルをスタイル設定する機能を追加しました。

- バージョン 12.2.0 への更新:
* 日常的な機能強化、マイナーなバグ修正、およびセキュリティパッチ。

- バージョン 12.1.0 への更新:
* Entra Workload Identity のサポートを追加し、フェデレーション認証情報による認証機能を強化しました。
* アラートルールリストページを再設計しました。
* Grafanaアラートで、ミュートタイミングをアクティブな時間間隔に名前変更しました。
* BigQuery データソースでのサービスアカウントなりすましのサポートを追加しました。
* Grafana Advisorがパブリックプレビューで導入されました。

- バージョン 12.0.0 への更新:
* 速報:AngularJSとすべての非推奨のUI拡張機能APIを削除しました。
* 速報:プラグイン CLI インストールコマンドにおいて、より厳格なバージョン互換性チェックを実施しました。
* BREAKING:failWrongDSUID 機能フラグをデフォルトで有効にしました。これにより、不適切な UID を持つデータソースが拒否されます。
* 移行:注釈テーブルに対するテーブル全体の再書き込みをトリガーしました。これにより、一時的にディスク使用率が増加する可能性があります。
* 元の単一グリッドレイアウトを置き換えるために、新しいダッシュボードスキーマを導入しました。

- CVE-2026-41607:Apache Thrift の情報漏洩の可能性を修正します(bsc#1263272)

Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受ける grafana パッケージを更新してください。

参考資料

https://bugzilla.suse.com/1262187

https://bugzilla.suse.com/1263272

https://www.suse.com/security/cve/CVE-2025-12141

https://www.suse.com/security/cve/CVE-2026-21725

https://www.suse.com/security/cve/CVE-2026-41607

プラグインの詳細

深刻度: Medium

ID: 327226

ファイル名: openSUSE-2026-21351-1.nasl

バージョン: 1.1

タイプ: Local

エージェント: unix

公開日: 2026/7/16

更新日: 2026/7/16

サポートされているセンサー: Continuous Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Tenable Cloud Security, Tenable Self-Hosted Container Security, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.3

パーセンタイル: 53.64

CVSS v2

リスクファクター: Medium

基本値: 6.8

現状値: 5

ベクトル: CVSS2#AV:N/AC:L/Au:S/C:C/I:N/A:N

CVSS スコアのソース: CVE-2025-12141

CVSS v3

リスクファクター: Medium

基本値: 6.5

現状値: 5.7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

CVSS v4

リスクファクター: Medium

Base Score: 5.3

Threat Score: 1.3

Threat Vector: CVSS:4.0/E:U

Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:N/VA:N/SC:L/SI:N/SA:N

脆弱性情報

CPE: cpe:/o:novell:opensuse:16.0, p-cpe:/a:novell:opensuse:grafana

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2026/7/14

脆弱性公開日: 2026/2/25

参照情報

CVE: CVE-2025-12141, CVE-2026-21725, CVE-2026-41607

IAVB: 2026-B-0079-S