grafana-10.2.6-4.el9

エラータID: AXSA:2024-9212:19

リリース日: 
2024/12/12 Thursday - 14:08
題名: 
grafana-10.2.6-4.el9
影響のあるチャネル: 
MIRACLE LINUX 9 for x86_64
Severity: 
Moderate
Description: 

以下項目について対処しました。

[Security Fix]
- Go の net パッケージの Lookup() 関数には、無限ループの
発生に至る問題があるため、リモートの攻撃者により、細工
された DNS メッセージを介して、サービス拒否攻撃 (リソース
の枯渇) を可能とする脆弱性が存在します。(CVE-2024-24788)

- Go の archive/zip パッケージには、破損したルート
ディレクトリの情報の処理に問題があるため、リモートの攻撃者
により、細工された ZIP 形式のファイルの処理を介して、不正
な ZIP 形式のファイルの生成、もしくは ZIP 形式のファイル内
に隠された不正な情報へのアクセスを可能とする脆弱性が存在
します。(CVE-2024-24789)

- Go の net/netip モジュールの複数の Is 関数 (IsPrivate()
関数、IsLoopback() 関数など) には、IPv4 アドレスに
マッピングされた IPv6 アドレスに対して誤った判定結果を
返してしまう問題があるため、ローカルの攻撃者により、不正な
ネットワークアクセスを可能とする脆弱性が存在します。
(CVE-2024-24790)

- Go の net/http モジュールの HTTP/1.1 クライアント機能
には、情報レスポンス以外のステータスで応答する際の処理に
問題があるため、リモートの攻撃者により、
「Expect: 100-continue」のヘッダーが付与されるように細工
した HTTP リクエストパケットの送信を介して、サービス拒否
攻撃 (クライアント接続の無効化) を可能とする脆弱性が存在
します。(CVE-2024-24791)

- go-retryablehttp には、URL のサニタイズ処理が欠落して
いるため、ローカルの攻撃者により、ログファイルへの URL の
書き込みを介して、情報の漏洩を可能とする脆弱性が存在します。
(CVE-2024-6104)

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2024-24788
A malformed DNS message in response to a query can cause the Lookup functions to get stuck in an infinite loop.
CVE-2024-24789
The archive/zip package's handling of certain types of invalid zip files differs from the behavior of most zip implementations. This misalignment could be exploited to create an zip file with contents that vary depending on the implementation reading the file. The archive/zip package now rejects files containing these errors.
CVE-2024-24790
The various Is methods (IsPrivate, IsLoopback, etc) did not work as expected for IPv4-mapped IPv6 addresses, returning false for addresses which would return true in their traditional IPv4 forms.
CVE-2024-24791
The net/http HTTP/1.1 client mishandled the case where a server responds to a request with an "Expect: 100-continue" header with a non-informational (200 or higher) status. This mishandling could leave a client connection in an invalid state, where the next request sent on the connection will fail. An attacker sending a request to a net/http/httputil.ReverseProxy proxy can exploit this mishandling to cause a denial of service by sending "Expect: 100-continue" requests which elicit a non-informational response from the backend. Each such request leaves the proxy with an invalid connection, and causes one subsequent request using that connection to fail.
CVE-2024-6104
go-retryablehttp prior to 0.7.7 did not sanitize urls when writing them to its log file. This could lead to go-retryablehttp writing sensitive HTTP basic auth credentials to its log file. This vulnerability, CVE-2024-6104, was fixed in go-retryablehttp 0.7.7.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. grafana-10.2.6-4.el9.src.rpm
    MD5: e37501ac0cb969e50b605aaf07b1d838
    SHA-256: 1e28c2428b602241234849e5e3d6ac5c44d02831186d9afa9f71206ccadb3dd4
    Size: 335.89 MB

Asianux Server 9 for x86_64
  1. grafana-10.2.6-4.el9.x86_64.rpm
    MD5: 6f25f0c6a8688e6583d6eb2fe57b2a8a
    SHA-256: d7f568397362e5aa76b2c3576b009950bb64576d9354835a11151fde4301873f
    Size: 112.08 MB
  2. grafana-selinux-10.2.6-4.el9.x86_64.rpm
    MD5: 7f1115e1a1fba77941058e56487e1cd9
    SHA-256: 57fe2b9f321396aa7fe1fe84022172bf6bbb64fd4c9839ee5d678195d6beeb43
    Size: 26.21 kB