grafana-9.2.10-7.el8.ML.1

エラータID: AXSA:2023-7309:12

リリース日: 
2023/12/27 Wednesday - 00:21
題名: 
grafana-9.2.10-7.el8.ML.1
影響のあるチャネル: 
Asianux Server 8 for x86_64
Severity: 
Moderate
Description: 

以下項目について対処しました。

[Security Fix]
- Grafana には、複数テナント間で一意ではない Azure のユーザー
プロファイルの電子メールフィールドの値を用いて Azure AD
アカウントを認証している問題があるため、リモートの攻撃者に
より、不正なアカウントの引き継ぎとこれに起因する認証の迂回
を可能とする脆弱性が存在します。(CVE-2023-3128)

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2023-3128
Grafana is validating Azure AD accounts based on the email claim. On Azure AD, the profile email field is not unique and can be easily modified. This leads to account takeover and authentication bypass when Azure AD OAuth is configured with a multi-tenant app.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. grafana-9.2.10-7.el8.ML.1.src.rpm
    MD5: d7c211c2a342dac433b3880110475488
    SHA-256: 3b40a26325ab8154dc2daa745b07c18830f673fce7da0017871a9890b1691258
    Size: 321.66 MB

Asianux Server 8 for x86_64
  1. grafana-9.2.10-7.el8.ML.1.x86_64.rpm
    MD5: 42d6cae56f285897a2a57af5619f0221
    SHA-256: a52cd0aa617ba7a8217b567d39434809b6527c3af124638000fa2e005782e0d5
    Size: 75.98 MB