grafana-7.5.15-3.el9
エラータID: AXSA:2023-4629:01
以下項目について対処しました。
[Security Fix]
- @braintree/sanitize-url パッケージの sanitizeUrl 関数には、不適切な
サニタイズの問題があるため、リモートの攻撃者により、クロスサイト
スクリプティングを可能とする脆弱性が存在します。(CVE-2021-23648)
- go-toolset の net/http モジュールには、HTTP/1 クライアントとして
利用した場合に不正な Transfer-Encoding ヘッダを受信してしまう
問題があるため、リモートの攻撃者により、不正なヘッダの受信を拒否
しない中間サーバーを介して、HTTP スマグリング攻撃を可能とする
脆弱性が存在します。(CVE-2022-1705)
- go/parser モジュールの Parse 関数には、制限のない再帰実行により
スタックが枯渇する問題があるため、任意の go 言語のコードを実行
できる攻撃者により、深くネストされた型や宣言が実装されたコードの
実行を介して、パニックによるサービス拒否攻撃を可能とする脆弱性が
存在します。(CVE-2022-1962)
- grafana には、OAuth アイデンティティ転送機能が有効なデータ
ソースに対して、他ユーザーの認証情報無しで API トークンを添えて
クエリを送信すると、直近にログインしたユーザーの OAuth アイデン
ティティが転送される問題があるため、API トークンの所有者により、
意図していないデータの取得を可能とする脆弱性が存在します。
(CVE-2022-21673)
- container-tools には、非標準の HTTP メソッドでリクエストを処理する
際に、HTTP サーバーがサービス拒否になる脆弱性があります。
(CVE-2022-21698)
- grafana には、データソースやプロキシの URL を提供する HTTP
サーバーを制御している攻撃者により、データソースやプラグインの
プロキシを使った HTML コンテンツの提供を介して、クロスサイト
スクリプティング攻撃を可能とする脆弱性が存在します。
(CVE-2022-21702)
- grafana には、クロスサイトリクエストフォージェリ (CSRF) の問題が
あるため、リモートの攻撃者により、高権限の認証済みユーザーに対する
クロスオリジン攻撃を介して、権限昇格を可能とする脆弱性が存在します。
(CVE-2022-21703)
- grafana には、ユーザーの権限を適切に扱わない API エンドポイントが
存在する問題があるため、認証済みの攻撃者により、特定のチーム ID
などを含むクエリの送信を介して、意図しないデータの取得を可能とする
脆弱性が存在します。(CVE-2022-21713)
- encoding/xml モジュールの Decoder.Skip 関数には、制限のない
再帰実行によりスタックが枯渇する問題があるため、リモートの
攻撃者により、深くネストされた XML ドキュメントを介して、
パニックによるサービス拒否攻撃を可能とする脆弱性が存在します。
(CVE-2022-28131)
- io/fs モジュールの Glob 関数には、制限のない再帰実行により
スタックが枯渇する問題があるため、リモートの攻撃者により、
大量のパスセパレータを含むパスを介して、パニックによる
サービス拒否攻撃を可能とする脆弱性が存在します。(CVE-2022-30630)
- compress/gzip モジュールの Reader.Read 関数には、制限のない
再帰実行によりスタックが枯渇する問題があるため、リモートの
攻撃者により、連結された 0 バイトの圧縮ファイルを大量に含む
アーカイブファイルを介して、パニックによるサービス拒否攻撃を
可能とする脆弱性が存在します。(CVE-2022-30631)
- path/filepath モジュールの Glob 関数には、制限のない再帰実行に
よりスタックが枯渇する問題があるため、リモートの攻撃者により、
大量のパスセパレータを含むパスを介して、パニックによるサービス
拒否攻撃を可能とする脆弱性が存在します。(CVE-2022-30632)
- encoding/xml モジュールの Unmarshal 関数には、制限のない再帰
実行によりスタックが枯渇する問題があるため、リモートの攻撃者に
より、any フィールドを持つネストされた構造体へのXML データの
取り込み処理を介して、パニックによるサービス拒否攻撃を可能とする
脆弱性が存在します。(CVE-2022-30633)
- encoding/gob モジュールの Decoder.Decode 関数には、制限の
ない再帰実行によりスタックが枯渇する問題があるため、リモートの
攻撃者により、深くネストされた構造を持つメッセージを介して、
パニックによるサービス拒否攻撃を可能とする脆弱性が存在します。
(CVE-2022-30635)
- grafana には、OAuth に認証をバイパスできる問題があるため、
grafana に OAuth ログイン可能な攻撃者により、OAuth プロバイダーの
ユーザー名をターゲットとするユーザー ID に設定することを介して、
ターゲットとするユーザーの grafanaアカウントを用いた不正な
ログインを可能とする脆弱性が存在します。(CVE-2022-31107)
- net/http モジュールには、リバースプロキシサーバーが
X-Forwarded-For ヘッダーにクライアント IP を設定してしまう問題が
あるため、X-Forwarded-For ヘッダに nil 値を含む Request.Header
マップを用いた httputil.ReverseProxy.ServeHTTP 関数の呼び出しを
介して、クライアントの IP アドレスの不正な開示を可能とする脆弱性が
存在します。(CVE-2022-32148)
パッケージをアップデートしてください。
The package @braintree/sanitize-url before 6.0.0 are vulnerable to Cross-site Scripting (XSS) due to improper sanitization in sanitizeUrl function.
Acceptance of some invalid Transfer-Encoding headers in the HTTP/1 client in net/http before Go 1.17.12 and Go 1.18.4 allows HTTP request smuggling if combined with an intermediate server that also improperly fails to reject the header as invalid.
Uncontrolled recursion in the Parse functions in go/parser before Go 1.17.12 and Go 1.18.4 allow an attacker to cause a panic due to stack exhaustion via deeply nested types or declarations.
Grafana is an open-source platform for monitoring and observability. In affected versions when a data source has the Forward OAuth Identity feature enabled, sending a query to that datasource with an API token (and no other user credentials) will forward the OAuth Identity of the most recently logged-in user. This can allow API token holders to retrieve data for which they may not have intended access. This attack relies on the Grafana instance having data sources that support the Forward OAuth Identity feature, the Grafana instance having a data source with the Forward OAuth Identity feature toggled on, the Grafana instance having OAuth enabled, and the Grafana instance having usable API keys. This issue has been patched in versions 7.5.13 and 8.3.4.
client_golang is the instrumentation library for Go applications in Prometheus, and the promhttp package in client_golang provides tooling around HTTP servers and clients. In client_golang prior to version 1.11.1, HTTP server is susceptible to a Denial of Service through unbounded cardinality, and potential memory exhaustion, when handling requests with non-standard HTTP methods. In order to be affected, an instrumented software must use any of `promhttp.InstrumentHandler*` middleware except `RequestsInFlight`; not filter any specific methods (e.g GET) before middleware; pass metric with `method` label name to our middleware; and not have any firewall/LB/proxy that filters away requests with unknown `method`. client_golang version 1.11.1 contains a patch for this issue. Several workarounds are available, including removing the `method` label name from counter/gauge used in the InstrumentHandler; turning off affected promhttp handlers; adding custom middleware before promhttp handler that will sanitize the request method given by Go http.Request; and using a reverse proxy or web application firewall, configured to only allow a limited set of methods.
Grafana is an open-source platform for monitoring and observability. In affected versions an attacker could serve HTML content thru the Grafana datasource or plugin proxy and trick a user to visit this HTML page using a specially crafted link and execute a Cross-site Scripting (XSS) attack. The attacker could either compromise an existing datasource for a specific Grafana instance or either set up its own public service and instruct anyone to set it up in their Grafana instance. To be impacted, all of the following must be applicable. For the data source proxy: A Grafana HTTP-based datasource configured with Server as Access Mode and a URL set, the attacker has to be in control of the HTTP server serving the URL of above datasource, and a specially crafted link pointing at the attacker controlled data source must be clicked on by an authenticated user. For the plugin proxy: A Grafana HTTP-based app plugin configured and enabled with a URL set, the attacker has to be in control of the HTTP server serving the URL of above app, and a specially crafted link pointing at the attacker controlled plugin must be clocked on by an authenticated user. For the backend plugin resource: An attacker must be able to navigate an authenticated user to a compromised plugin through a crafted link. Users are advised to update to a patched version. There are no known workarounds for this vulnerability.
Grafana is an open-source platform for monitoring and observability. Affected versions are subject to a cross site request forgery vulnerability which allows attackers to elevate their privileges by mounting cross-origin attacks against authenticated high-privilege Grafana users (for example, Editors or Admins). An attacker can exploit this vulnerability for privilege escalation by tricking an authenticated user into inviting the attacker as a new user with high privileges. Users are advised to upgrade as soon as possible. There are no known workarounds for this issue.
Grafana is an open-source platform for monitoring and observability. Affected versions of Grafana expose multiple API endpoints which do not properly handle user authorization. `/teams/:teamId` will allow an authenticated attacker to view unintended data by querying for the specific team ID, `/teams/:search` will allow an authenticated attacker to search for teams and see the total number of available teams, including for those teams that the user does not have access to, and `/teams/:teamId/members` when editors_can_admin flag is enabled, an authenticated attacker can see unintended data by querying for the specific team ID. Users are advised to upgrade as soon as possible. There are no known workarounds for this issue.
Uncontrolled recursion in Decoder.Skip in encoding/xml before Go 1.17.12 and Go 1.18.4 allows an attacker to cause a panic due to stack exhaustion via a deeply nested XML document.
Uncontrolled recursion in Glob in io/fs before Go 1.17.12 and Go 1.18.4 allows an attacker to cause a panic due to stack exhaustion via a path which contains a large number of path separators.
Uncontrolled recursion in Reader.Read in compress/gzip before Go 1.17.12 and Go 1.18.4 allows an attacker to cause a panic due to stack exhaustion via an archive containing a large number of concatenated 0-length compressed files.
Uncontrolled recursion in Glob in path/filepath before Go 1.17.12 and Go 1.18.4 allows an attacker to cause a panic due to stack exhaustion via a path containing a large number of path separators.
Uncontrolled recursion in Unmarshal in encoding/xml before Go 1.17.12 and Go 1.18.4 allows an attacker to cause a panic due to stack exhaustion via unmarshalling an XML document into a Go struct which has a nested field that uses the 'any' field tag.
Uncontrolled recursion in Decoder.Decode in encoding/gob before Go 1.17.12 and Go 1.18.4 allows an attacker to cause a panic due to stack exhaustion via a message which contains deeply nested structures.
Grafana is an open-source platform for monitoring and observability. In versions 5.3 until 9.0.3, 8.5.9, 8.4.10, and 8.3.10, it is possible for a malicious user who has authorization to log into a Grafana instance via a configured OAuth IdP which provides a login name to take over the account of another user in that Grafana instance. This can occur when the malicious user is authorized to log in to Grafana via OAuth, the malicious user's external user id is not already associated with an account in Grafana, the malicious user's email address is not already associated with an account in Grafana, and the malicious user knows the Grafana username of the target user. If these conditions are met, the malicious user can set their username in the OAuth provider to that of the target user, then go through the OAuth flow to log in to Grafana. Due to the way that external and internal user accounts are linked together during login, if the conditions above are all met then the malicious user will be able to log in to the target user's Grafana account. Versions 9.0.3, 8.5.9, 8.4.10, and 8.3.10 contain a patch for this issue. As a workaround, concerned users can disable OAuth login to their Grafana instance, or ensure that all users authorized to log in via OAuth have a corresponding user account in Grafana linked to their email address.
Improper exposure of client IP addresses in net/http before Go 1.17.12 and Go 1.18.4 can be triggered by calling httputil.ReverseProxy.ServeHTTP with a Request.Header map containing a nil value for the X-Forwarded-For header, which causes ReverseProxy to set the client IP as the value of the X-Forwarded-For header.
N/A
SRPMS
- grafana-7.5.15-3.el9.src.rpm
MD5: 336098766462356bb19031ec2b76e9ce
SHA-256: f1a19e2dc78d2ae690c062c29eb0a521705c8202b8c8235c1d72704142dddf9b
Size: 115.55 MB
Asianux Server 9 for x86_64
- grafana-7.5.15-3.el9.x86_64.rpm
MD5: 4699f191ea7908e299e2c901eea058c2
SHA-256: 7b70176ba1c9fdf929a2288755ffe7214b3ca5214b3cae530e8249b6353f3b27
Size: 36.89 MB
English