Oracle Linux 9:grafana (ELSA-2022-8057)

high Nessus Plugin ID 168119

概要

遠端 Oracle Linux 主機缺少一個或多個安全性更新。

說明

遠端 Oracle Linux 9 主機上有一個套件受到 ELSA-2022-8057 公告中提及的多個弱點影響。

- client_golang 是 Prometheus 中 Go 應用程式的檢測程式庫,client_golang 中的 promhttp 套件可提供有關 HTTP 伺服器和用戶端的工具。在 client_golang 1.11.1 之前版本中,處理使用非標準 HTTP 方法的要求時,HTTP 伺服器容易因無限制的基數而遭受拒絕服務攻擊,並可能耗盡記憶體。如要讓受檢測的軟體受到影響,必須滿足以下條件:使用除「RequestsInFlight」以外的任何「promhttp.InstrumentHandler*」中間件;
在中介軟體之前,不篩選任何特定方法 (例如 GET);將具有 `method` 標籤名稱的指標傳遞至我們的中間件;且沒有任何 Firewall/LB/Proxy 篩選出含有未知「method」的要求。
client_golang 1.11.1 版本包含針對此問題的修補程式。有數種因應措施可用,包括從 InstrumentHandler 使用的計數器/量器移除 `method` 標籤名稱;關閉受影響的 promhttp 處理常式;在 promhttp 處理常式之前新增自訂中間件,以便審查 Go http.Request 提供的要求方法;以及使用設定為僅允許一組有限方法的反向代理伺服器或 Web 應用程式防火牆。(CVE-2022-21698)

- Grafana 是一個用於監控和觀察的開放原始碼平台。受影響的 Grafana 版本會公開多個未正確處理使用者授權的 API 端點。「/teams/: teamId」將允許經驗證的攻擊者藉由查詢特定的團隊 ID 來檢視非預期的資料。「/teams/: search」將允許經驗證的攻擊者搜尋團隊並查看可用團隊的總數,包括使用者無權存取的團隊。若已啟用 editors_can_admin 旗標,「/teams/: teamId/members」將允許經驗證的攻擊者藉由查詢特定的團隊 ID 來查看非預期的資料。
建議使用者盡快進行升級。此問題尚無已知的因應措施。
(CVE-2022-21713)

- 在 Go 1.17.12 之前版本和 Go 1.18.4 版中,net/http 中存在不當暴露用戶端 IP 位址的弱點,藉由使用包含 nil 值的 Request.Header 對應爲 X-Forwarded-For 標頭呼叫 httputil.ReverseProxy.ServeHTTP 可以觸發此弱點,造成 ReverseProxy 將用戶端 IP 設定為 X-Forwarded-For 標頭的值。(CVE-2022-32148)

- Grafana 是一個用於監控和觀察的開放原始碼平台。受影響的版本容易受到跨網站要求偽造弱點影響,攻擊者可藉此對經驗證的高權限 Grafana 使用者 (例如 Editor 或 Admin) 掛載跨來源攻擊,進而提升其權限。
攻擊者可以誘騙經驗證的使用者以具有高權限的新使用者身分邀請攻擊者,以利用此弱點來提升權限。建議使用者盡快進行升級。目前沒有任何因應措施可解決此問題。(CVE-2022-21703)

- 在 Go 1.17.12 之前版本和 Go 1.18.4 版中,path/filepath 的 Glob 中存在不受控制的遞回弱點,攻擊者可藉此透過包含大量路徑分隔符號的路徑造成堆疊耗盡,進而引致錯誤。
(CVE-2022-30632)

- Grafana 是一個用於監控和觀察的開放原始碼平台。在受影響的版本中,若資料來源已啟用「轉送 OAuth 身分」功能,則使用 API 權杖 (並且無其他使用者憑證) 傳送查詢至該資料來源時,程式會轉送最近登入使用者的 OAuth 身分。
這可允許 API 權杖持有者擷取他們可能原本沒有存取權的資料。此攻擊依賴資料來源支援「轉送 OAuth 身分」功能的 Grafana 執行個體、資料來源已啟用「轉寄 OAuth 身分」功能的 Grafana 執行個體、已啟用 OAuth 的 Grafana 執行個體,以及具有可用 API 金鑰的 Grafana 執行個體。此問題已在 7.5.13、8.3.4 和 CVE-2022-21673 版本中修正。

- Grafana 是一個用於監控和觀察的開放原始碼平台。在受影響的版本中,攻擊者可透過 Grafana 資料來源或外掛程式 Proxy 提供 HTML 內容,並使用特製連結誘騙使用者造訪此 HTML 頁面,然後執行跨網站指令碼 (XSS) 攻擊。攻擊者可入侵特定 Grafana 執行個體的現有資料來源,或設定其公開服務並指示任何人在自己的 Grafana 執行個體中進行設定。必須符合以下所有條件才會受到影響。針對資料來源 Proxy:將伺服器設定為存取模式並設定 URL 的 Grafana HTTP 型資料來源,攻擊者必須控制提供上述資料來源 URL 的 HTTP 伺服器,而且經驗證的使用者必須點按指向攻擊者所控制的資料來源的特製連結。針對外掛程式 Proxy:設定 URL 的已設定並啓用的 Grafana HTTP 型應用程式外掛程式,攻擊者必須控制提供上述應用程式 URL 的 HTTP 伺服器,而且經驗證的使用者必須點按指向攻擊者所控制的外掛程式的特製連結。針對後端外掛程式資源:攻擊者必須能夠透過特製的連結,將經驗證的使用者導覽至遭入侵的外掛程式。建議使用者升級至修補後的版本。目前沒有任何因應措施可解決此弱點。(CVE-2022-21702)

- 在 Go 1.17.12 之前版本和 Go 1.18.4 版中,io/fs 的 Glob 中存在不受控制的遞回弱點,攻擊者可藉此透過包含大量路徑分隔符號的路徑造成堆疊耗盡,進而引致錯誤。
(CVE-2022-30630)

- 在 Go 1.17.12 之前版本和 Go 1.18.4 版中,go/parser 中的 Parse 函式存在不受控制的遞回弱點,攻擊者可藉此透過深度巢狀類型或宣告造成堆疊耗盡,進而引致錯誤。(CVE-2022-1962)

- 在 Go 1.17.12 之前版本和 Go 1.18.4 版中,compress/gzip 的 Reader.Read 中存在不受控制的遞回弱點,攻擊者可藉此透過含有大量串連長度為 0 的壓縮檔案的封存造成堆疊耗盡,進而引致錯誤。(CVE-2022-30631)

- @braintree/sanitize-url 套件的 6.0.0 之前版本容易受到跨網站指令碼 (XSS) 攻擊,這是因為 sanitizeUrl 函式存在清理不當問題。(CVE-2021-23648)

- 在 Go 1.17.12 之前版本和 Go 1.18.4 版中,net/http 中的 HTTP/1 用戶端會接受某些無效的 Transfer-Encoding 標頭,如果配合使用的中繼伺服器與也未正確拒絕此無效標頭,則可以觸發 HTTP 要求走私攻擊。(CVE-2022-1705)

- 在 Go 1.17.12 之前版本和 Go 1.18.4 版中,encoding/gob 的 Decoder.Decode 中存在不受控制的遞回弱點,攻擊者可藉此透過包含深度巢狀結構的訊息來造成堆疊耗盡,進而引致錯誤。
(CVE-2022-30635)

- 在 Go 1.17.12 之前版本和 Go 1.18.4 版中,encoding/xml 的 Unmarshal 中存在不受控制的遞回弱點,攻擊者可藉此透過將 XML 文件解組到具有使用「any」欄位標籤的巢狀欄位的 Go 結構中來造成堆疊耗盡,進而引致錯誤。(CVE-2022-30633)

- 在 Go 1.17.12 之前版本以及 1.18.4 之前的 1.18.x 版中,透過深度巢狀 XML 文件可造成 encoding/xml 中的 Decoder.Skip 發生堆疊耗盡和錯誤。(CVE-2022-28131)

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新受影響的 grafana 套件。

另請參閱

https://linux.oracle.com/errata/ELSA-2022-8057.html

Plugin 詳細資訊

嚴重性: High

ID: 168119

檔案名稱: oraclelinux_ELSA-2022-8057.nasl

版本: 1.4

類型: local

代理程式: unix

已發布: 2022/11/22

已更新: 2023/10/2

支援的感應器: Frictionless Assessment Agent, Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: Medium

基本分數: 6.8

時間分數: 5.3

媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

CVSS 評分資料來源: CVE-2022-21703

CVSS v3

風險因素: High

基本分數: 8.8

時間分數: 7.9

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:P/RL:O/RC:C

弱點資訊

CPE: cpe:/o:oracle:linux:9, p-cpe:/a:oracle:linux:grafana

必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/OracleLinux

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2022/11/22

弱點發布日期: 2022/1/18

參考資訊

CVE: CVE-2021-23648, CVE-2022-1705, CVE-2022-1962, CVE-2022-21673, CVE-2022-21698, CVE-2022-21702, CVE-2022-21703, CVE-2022-21713, CVE-2022-28131, CVE-2022-30630, CVE-2022-30631, CVE-2022-30632, CVE-2022-30633, CVE-2022-30635, CVE-2022-32148

IAVB: 2022-B-0025-S