grafana-7.5.9-4.el8
エラータID: AXSA:2021-2800:06
リリース日:
2021/12/20 Monday - 09:41
題名:
grafana-7.5.9-4.el8
影響のあるチャネル:
Asianux Server 8 for x86_64
Severity:
Moderate
Description:
以下項目について対処しました。
[Security Fix]
- Grafana の snapshot 機能には、一般的に使用されている設定がなされてい
る場合、認証されていないリモートの攻撃者が リモート API を呼び出すこと
によってサービス拒否状態が発生する脆弱性があります。(CVE-2021-27538)
- Go の crypto/elliptic/p224.go には、P-224 領域の最後の完全なリダクショ
ンの計算時に、最下位のリムのアンダーフローに関連して、間違った出力をし
てしまう脆弱性があります。(CVE-2021-3114)
- Go の DNS 検索用関数には、DNS サーバーからのリプライを検証しない問題
があるため、戻り値に RFC1035 フォーマットに適合しない安全でないインジェ
クションを含ませることによって、例えばクロスサイトスクリプティングのよ
うな攻撃を受ける脆弱性があります。(CVE-2021-33195)
- Go の net/http/httputil からの ReverseProxy の設定によっては、攻撃者
によって任意のヘッダーがドロップされる脆弱性があります。(CVE-2021-33197)
- Go の crypto/tls パッケージには、RSA ベースの鍵交換を実施する際に
X.509 証明書の公開鍵のタイプが期待されたタイプと一致するかどうかを適切
にアサートしない問題があるため、悪意のある TLS サーバーによって TLS ク
ライアントにパニックを発生させる脆弱性があります。(CVE-2021-34558)
解決策:
パッケージをアップデートしてください。
CVE:
CVE-2021-27358
The snapshot feature in Grafana 6.7.3 through 7.4.1 can allow an unauthenticated remote attackers to trigger a Denial of Service via a remote API call if a commonly used configuration is set.
The snapshot feature in Grafana 6.7.3 through 7.4.1 can allow an unauthenticated remote attackers to trigger a Denial of Service via a remote API call if a commonly used configuration is set.
CVE-2021-3114
In Go before 1.14.14 and 1.15.x before 1.15.7, crypto/elliptic/p224.go can generate incorrect outputs, related to an underflow of the lowest limb during the final complete reduction in the P-224 field.
In Go before 1.14.14 and 1.15.x before 1.15.7, crypto/elliptic/p224.go can generate incorrect outputs, related to an underflow of the lowest limb during the final complete reduction in the P-224 field.
CVE-2021-33195
Go before 1.15.13 and 1.16.x before 1.16.5 has functions for DNS lookups that do not validate replies from DNS servers, and thus a return value may contain an unsafe injection (e.g., XSS) that does not conform to the RFC1035 format.
Go before 1.15.13 and 1.16.x before 1.16.5 has functions for DNS lookups that do not validate replies from DNS servers, and thus a return value may contain an unsafe injection (e.g., XSS) that does not conform to the RFC1035 format.
CVE-2021-33197
In Go before 1.15.13 and 1.16.x before 1.16.5, some configurations of ReverseProxy (from net/http/httputil) result in a situation where an attacker is able to drop arbitrary headers.
In Go before 1.15.13 and 1.16.x before 1.16.5, some configurations of ReverseProxy (from net/http/httputil) result in a situation where an attacker is able to drop arbitrary headers.
CVE-2021-34558
The crypto/tls package of Go through 1.16.5 does not properly assert that the type of public key in an X.509 certificate matches the expected type when doing a RSA based key exchange, allowing a malicious TLS server to cause a TLS client to panic.
The crypto/tls package of Go through 1.16.5 does not properly assert that the type of public key in an X.509 certificate matches the expected type when doing a RSA based key exchange, allowing a malicious TLS server to cause a TLS client to panic.
追加情報:
N/A
ダウンロード:
SRPMS
- grafana-7.5.9-4.el8.src.rpm
MD5: 05244e7ae6a2456203a66e69a6ec2063
SHA-256: d6cd3bffb7f7ecc0f606e4cdbde633370c6ac7c9adb2a7e0c8716fe49ae00277
Size: 121.92 MB
Asianux Server 8 for x86_64
- grafana-7.5.9-4.el8.x86_64.rpm
MD5: 73470b6619edb41ceb4e4428a78bb639
SHA-256: f3a9e039e397c3369b8a8920296a471b74fe9c00b816110ffcd0513f6d9614da
Size: 40.68 MB
English