CentOS 9:grafana-9.0.9-1.el9
high Nessus Plugin ID 191236
語系:
概要
遠端 CentOS 主機缺少一個或多個 grafana 安全性更新。說明
遠端 CentOS Linux 9 主機上安裝的一個套件受到 grafana-9.0.9-1.el9 版本變更記錄中提及的多個弱點影響。- XSS (CVE-2021-23648)
- Grafana 是一個開放原始碼資料視覺化平台。在受影響的版本中,未經驗證和經驗證的使用者可透過存取文字路徑,檢視具有最低資料庫金鑰的快照:/dashboard/snapshot/:key, or /api/snapshots/:key。如果快照 public_mode 組態設定設為 true (而預設為 false),則未經驗證的使用者可透過存取文字路徑,刪除具有最低資料庫金鑰的快照:/api/snapshots-delete/:deleteKey。無論快照 public_mode 組態設定為何,經驗證的使用者皆可透過存取文字路徑,刪除具有最低資料庫金鑰的快照:/api/snapshots/:key, or /api/snapshots-delete/:deleteKey。結合執行刪除和檢視,可在導致完整快照資料遺失的同時,完整瀏覽所有快照資料。此問題已在 8.1.6 和 7.5.11 版中獲得解決。如果由於某種原因您無法升級,則可以使用反向代理伺服器或類似工具來封鎖對文字路徑的存取:
/api/snapshots/:key、/api/snapshots-delete/:deleteKey、/dashboard/snapshot/:key 和 /api/snapshots/:key。
它們未設正常函式,停用後不會產生副作用。(CVE-2021-39226)
- *.md 檔案存在目錄遊走弱點 (CVE-2021-43813)
- net/http:限制標頭正準化快取的增長 (CVE-2021-44716)
- net/http:不當清理 Transfer-Encoding 標頭 (CVE-2022-1705)
- go/parser:所有 Parse* 函式中的堆疊耗盡弱點 (CVE-2022-1962)
- Forward OAuth Identity Token 允許使用者存取某些資料來源 (CVE-2022-21673)
- client_golang 是 Prometheus 中 Go 應用程式的檢測程式庫,client_golang 中的 promhttp 套件可提供有關 HTTP 伺服器和用戶端的工具。在 client_golang 1.11.1 之前版本中,處理使用非標準 HTTP 方法的要求時,HTTP 伺服器容易因無限制的基數而遭受拒絕服務攻擊,並可能耗盡記憶體。如要讓受檢測的軟體受到影響,必須滿足以下條件:使用除「RequestsInFlight」以外的任何「promhttp.InstrumentHandler*」中間件;
在中介軟體之前,不篩選任何特定方法 (例如 GET);將具有 `method` 標籤名稱的指標傳遞至我們的中間件;且沒有任何 Firewall/LB/Proxy 篩選出含有未知「method」的要求。
client_golang 1.11.1 版本包含針對此問題的修補程式。有數種因應措施可用,包括從 InstrumentHandler 使用的計數器/量器移除 `method` 標籤名稱;關閉受影響的 promhttp 處理常式;在 promhttp 處理常式之前新增自訂中間件,以便審查 Go http.Request 提供的要求方法;以及使用設定為僅允許一組有限方法的反向代理伺服器或 Web 應用程式防火牆。(CVE-2022-21698)
- 資料來源處理中的 XSS 弱點 (CVE-2022-21702)
- CSRF 弱點可導致權限提升 (CVE-2022-21703)
- IDOR 弱點可導致資訊洩漏 (CVE-2022-21713)
- encoding/xml:Decoder.Skip 中的堆疊耗盡弱點 (CVE-2022-28131)
- io/fs:Glob 中的堆疊耗盡弱點 (CVE-2022-30630)
- compress/gzip:Reader.Read 中的堆疊耗盡弱點 (CVE-2022-30631)
- path/filepath:Glob 中的堆疊耗盡弱點 (CVE-2022-30632)
- encoding/xml:Unmarshal 中的堆疊耗盡弱點 (CVE-2022-30633)
- encoding/gob:Decoder.Decode 中的堆疊耗盡弱點 (CVE-2022-30635)
- OAuth 帳戶接管 (CVE-2022-31107)
- net/http/httputil:NewSingleHostReverseProxy (CVE-2022-32148)
- 若使用使用驗證代理,權限會從管理員提升至伺服器管理員 (rhbz#2125530) (CVE-2022-35957)
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
更新 CentOS 9 Stream grafana 套件。另請參閱
https://kojihub.stream.centos.org/koji/buildinfo?buildID=25085
Plugin 詳細資訊
嚴重性: High
ID: 191236
檔案名稱: centos9_grafana-9_0_9-1.nasl
版本: 1.1
類型: local
代理程式: unix
已發布: 2024/2/29
已更新: 2024/4/26
支援的感應器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus
風險資訊
VPR
風險因素: Medium
分數: 6.7
CVSS v2
風險因素: Medium
基本分數: 6.8
時間分數: 5.6
媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
CVSS 評分資料來源: CVE-2022-21703
CVSS v3
風險因素: High
基本分數: 8.8
時間分數: 8.2
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
時間媒介: CVSS:3.0/E:F/RL:O/RC:C
弱點資訊
CPE: cpe:/a:centos:centos:9, p-cpe:/a:centos:centos:grafana
必要的 KB 項目: Host/local_checks_enabled, Host/CentOS/release, Host/CentOS/rpm-list, Host/cpu
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2022/9/22
弱點發布日期: 2021/10/5
CISA 已知遭惡意利用弱點到期日: 2022/9/15
參考資訊
CVE: CVE-2021-23648, CVE-2021-39226, CVE-2021-43813, CVE-2021-44716, CVE-2022-1705, CVE-2022-1962, CVE-2022-21673, CVE-2022-21698, CVE-2022-21702, CVE-2022-21703, CVE-2022-21713, CVE-2022-28131, CVE-2022-30630, CVE-2022-30631, CVE-2022-30632, CVE-2022-30633, CVE-2022-30635, CVE-2022-31107, CVE-2022-32148, CVE-2022-35957