grafana-7.5.15-3.el8
エラータID: AXSA:2022-4363:06
以下項目について対処しました。
[Security Fix]
- @braintree/sanitize-url パッケージの sanitizeUrl 関数には、
不適切なサニタイズの問題があるため、リモートの攻撃者により、
クロスサイトスクリプティングを可能とする脆弱性が存在します。
(CVE-2021-23648)
- go-toolset の net/http モジュールには、HTTP / 1 クライアント
として利用した場合に不正な Transfer - Encoding ヘッダを
受信してしまう問題があるため、リモートの攻撃者により、
不正なヘッダの受信を拒否しない中間サーバーを介して、HTTP
スマグリング攻撃を可能とする脆弱性が存在します。
(CVE-2022-1705)
- go/parser モジュールの Parse 関数には、制限のない
再帰実行によりスタックが枯渇する問題があるため、任意の
go 言語のコードを実行できる攻撃者により、深くネストされた
型や宣言が実装されたコードの実行を介して、パニックによる
サービス拒否攻撃を可能とする脆弱性が存在します。
(CVE-2022-1962)
- grafana には、OAuth アイデンティティ転送機能が有効な
データソースに対して、他ユーザーの認証情報無しで API
トークンを添えてクエリを送信すると、直近にログインした
ユーザーの OAuth アイデンティティが転送される問題が
あるため、API トークンの所有者により、意図していない
データの取得を可能とする脆弱性が存在します。
(CVE-2022-21673)
- container-tools には、非標準の HTTP メソッドでリクエストを
処理する際に、HTTP サーバーがサービス拒否になる脆弱性が
あります。(CVE-2022-21698)
- grafana には、データソースやプロキシの URL を提供する
HTTP サーバーを制御している攻撃者により、データソースや
プラグインのプロキシを使った HTML コンテンツの提供を介して、
クロスサイトスクリプティング攻撃を可能とする脆弱性が
存在します。(CVE-2022-21702)
- grafana には、クロスサイトリクエストフォージェリ (CSRF)
の問題があるため、リモートの攻撃者により、高権限の認証済み
ユーザーに対するクロスオリジン攻撃を介して、権限昇格を
可能とする脆弱性が存在します。(CVE-2022-21703)
- grafana には、ユーザーの権限を適切に扱わない API
エンドポイントが存在する問題があるため、認証済みの
攻撃者により、特定のチーム ID などを含むクエリの送信を
介して、意図しないデータの取得を可能とする脆弱性が
存在します。(CVE-2022-21713)
- encoding/xml モジュールの Decoder.Skip 関数には、
制限のない再帰実行によりスタックが枯渇する問題があるため、
リモートの攻撃者により、深くネストされた XML ドキュメントを
介して、パニックによるサービス拒否攻撃を可能とする脆弱性が
存在します。(CVE-2022-28131)
- io/fs モジュールの Glob 関数には、制限のない
再帰実行によりスタックが枯渇する問題があるため、
リモートの攻撃者により、大量のパスセパレータを含む
パスを介して、パニックによるサービス拒否攻撃を
可能とする脆弱性が存在します。(CVE-2022-30630)
- compress/gzip モジュールの Reader.Read 関数には、
制限のない再帰実行によりスタックが枯渇する問題があるため、
リモートの攻撃者により、連結された 0 バイトの圧縮ファイルを
大量に含むアーカイブファイルを介して、パニックによる
サービス拒否攻撃を可能とする脆弱性が存在します。
(CVE-2022-30631)
- path/filepath モジュールの Glob 関数には、制限のない
再帰実行によりスタックが枯渇する問題があるため、
リモートの攻撃者により、大量のパスセパレータを含む
パスを介して、パニックによるサービス拒否攻撃を可能とする
脆弱性が存在します。(CVE-2022-30632)
- encoding/xml モジュールの Unmarshal 関数には、制限のない
再帰実行によりスタックが枯渇する問題があるため、リモートの
攻撃者により、any フィールドを持つネストされた構造体への
XML データの取り込み処理を介して、パニックによるサービス
拒否攻撃を可能とする脆弱性が存在します。(CVE-2022-30633)
- encoding/gob モジュールの Decoder.Decode 関数には、
制限のない再帰実行によりスタックが枯渇する問題があるため、
リモートの攻撃者により、深くネストされた構造を持つ
メッセージを介して、パニックによるサービス拒否攻撃を
可能とする脆弱性が存在します。(CVE-2022-30635)
- net/http モジュールには、リバースプロキシサーバーが
X - Forwarded - For ヘッダーにクライアント IP を
設定してしまう問題があるため、X - Forwarded - For ヘッダに
nil 値を含む Request.Header マップを用いた
httputil.ReverseProxy.ServeHTTP 関数の呼び出しを介して、
クライアントの IP アドレスの不正な開示を可能とする脆弱性が
存在します。(CVE-2022-32148)
パッケージをアップデートしてください。
The package @braintree/sanitize-url before 6.0.0 are vulnerable to Cross-site Scripting (XSS) due to improper sanitization in sanitizeUrl function.
Acceptance of some invalid Transfer-Encoding headers in the HTTP/1 client in net/http before Go 1.17.12 and Go 1.18.4 allows HTTP request smuggling if combined with an intermediate server that also improperly fails to reject the header as invalid.
Uncontrolled recursion in the Parse functions in go/parser before Go 1.17.12 and Go 1.18.4 allow an attacker to cause a panic due to stack exhaustion via deeply nested types or declarations.
Grafana is an open-source platform for monitoring and observability. In affected versions when a data source has the Forward OAuth Identity feature enabled, sending a query to that datasource with an API token (and no other user credentials) will forward the OAuth Identity of the most recently logged-in user. This can allow API token holders to retrieve data for which they may not have intended access. This attack relies on the Grafana instance having data sources that support the Forward OAuth Identity feature, the Grafana instance having a data source with the Forward OAuth Identity feature toggled on, the Grafana instance having OAuth enabled, and the Grafana instance having usable API keys. This issue has been patched in versions 7.5.13 and 8.3.4.
client_golang is the instrumentation library for Go applications in Prometheus, and the promhttp package in client_golang provides tooling around HTTP servers and clients. In client_golang prior to version 1.11.1, HTTP server is susceptible to a Denial of Service through unbounded cardinality, and potential memory exhaustion, when handling requests with non-standard HTTP methods. In order to be affected, an instrumented software must use any of `promhttp.InstrumentHandler*` middleware except `RequestsInFlight`; not filter any specific methods (e.g GET) before middleware; pass metric with `method` label name to our middleware; and not have any firewall/LB/proxy that filters away requests with unknown `method`. client_golang version 1.11.1 contains a patch for this issue. Several workarounds are available, including removing the `method` label name from counter/gauge used in the InstrumentHandler; turning off affected promhttp handlers; adding custom middleware before promhttp handler that will sanitize the request method given by Go http.Request; and using a reverse proxy or web application firewall, configured to only allow a limited set of methods.
Grafana is an open-source platform for monitoring and observability. In affected versions an attacker could serve HTML content thru the Grafana datasource or plugin proxy and trick a user to visit this HTML page using a specially crafted link and execute a Cross-site Scripting (XSS) attack. The attacker could either compromise an existing datasource for a specific Grafana instance or either set up its own public service and instruct anyone to set it up in their Grafana instance. To be impacted, all of the following must be applicable. For the data source proxy: A Grafana HTTP-based datasource configured with Server as Access Mode and a URL set, the attacker has to be in control of the HTTP server serving the URL of above datasource, and a specially crafted link pointing at the attacker controlled data source must be clicked on by an authenticated user. For the plugin proxy: A Grafana HTTP-based app plugin configured and enabled with a URL set, the attacker has to be in control of the HTTP server serving the URL of above app, and a specially crafted link pointing at the attacker controlled plugin must be clocked on by an authenticated user. For the backend plugin resource: An attacker must be able to navigate an authenticated user to a compromised plugin through a crafted link. Users are advised to update to a patched version. There are no known workarounds for this vulnerability.
Grafana is an open-source platform for monitoring and observability. Affected versions are subject to a cross site request forgery vulnerability which allows attackers to elevate their privileges by mounting cross-origin attacks against authenticated high-privilege Grafana users (for example, Editors or Admins). An attacker can exploit this vulnerability for privilege escalation by tricking an authenticated user into inviting the attacker as a new user with high privileges. Users are advised to upgrade as soon as possible. There are no known workarounds for this issue.
Grafana is an open-source platform for monitoring and observability. Affected versions of Grafana expose multiple API endpoints which do not properly handle user authorization. `/teams/:teamId` will allow an authenticated attacker to view unintended data by querying for the specific team ID, `/teams/:search` will allow an authenticated attacker to search for teams and see the total number of available teams, including for those teams that the user does not have access to, and `/teams/:teamId/members` when editors_can_admin flag is enabled, an authenticated attacker can see unintended data by querying for the specific team ID. Users are advised to upgrade as soon as possible. There are no known workarounds for this issue.
In Decoder.Skip in encoding/xml in Go before 1.17.12 and 1.18.x before 1.18.4, stack exhaustion and a panic can occur via a deeply nested XML document.
Uncontrolled recursion in Glob in io/fs before Go 1.17.12 and Go 1.18.4 allows an attacker to cause a panic due to stack exhaustion via a path which contains a large number of path separators.
Uncontrolled recursion in Reader.Read in compress/gzip before Go 1.17.12 and Go 1.18.4 allows an attacker to cause a panic due to stack exhaustion via an archive containing a large number of concatenated 0-length compressed files.
Uncontrolled recursion in Glob in path/filepath before Go 1.17.12 and Go 1.18.4 allows an attacker to cause a panic due to stack exhaustion via a path containing a large number of path separators.
Uncontrolled recursion in Unmarshal in encoding/xml before Go 1.17.12 and Go 1.18.4 allows an attacker to cause a panic due to stack exhaustion via unmarshalling an XML document into a Go struct which has a nested field that uses the 'any' field tag.
Uncontrolled recursion in Decoder.Decode in encoding/gob before Go 1.17.12 and Go 1.18.4 allows an attacker to cause a panic due to stack exhaustion via a message which contains deeply nested structures.
Improper exposure of client IP addresses in net/http before Go 1.17.12 and Go 1.18.4 can be triggered by calling httputil.ReverseProxy.ServeHTTP with a Request.Header map containing a nil value for the X-Forwarded-For header, which causes ReverseProxy to set the client IP as the value of the X-Forwarded-For header.
N/A
SRPMS
- grafana-7.5.15-3.el8.src.rpm
MD5: ba9cb6494f90d5fde5007905b04cd7c3
SHA-256: 3048cda34e7482932acadb8466ee026674635c51c856718843d365970e91715d
Size: 115.56 MB
Asianux Server 8 for x86_64
- grafana-7.5.15-3.el8.x86_64.rpm
MD5: d74042bf3945d37377f5a957e5959d6a
SHA-256: 01b032081965e0fb258d366f1ca19913720e7732c735604798cb5b0c673d43da
Size: 39.16 MB
English