grafana-10.2.6-9.el9_5

エラータID: AXSA:2025-9818:04

リリース日: 
2025/04/01 Tuesday - 15:09
題名: 
grafana-10.2.6-9.el9_5
影響のあるチャネル: 
MIRACLE LINUX 9 for x86_64
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- golang-jwt の parse.ParseUnverified() 関数には、指定された
引数を制限なくピリオド文字で分割してしまう問題があるため、
リモートの攻撃者により、多数のピリオド文字が続く Bearer
が設定されるように細工された Authorization ヘッダーの処理
を介して、サービス拒否攻撃を可能とする脆弱性が存在します。
(CVE-2025-30204)

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2025-30204
golang-jwt is a Go implementation of JSON Web Tokens. Prior to 5.2.2 and 4.5.2, the function parse.ParseUnverified splits (via a call to strings.Split) its argument (which is untrusted data) on periods. As a result, in the face of a malicious request whose Authorization header consists of Bearer followed by many period characters, a call to that function incurs allocations to the tune of O(n) bytes (where n stands for the length of the function's argument), with a constant factor of about 16. This issue is fixed in 5.2.2 and 4.5.2.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. grafana-10.2.6-9.el9_5.src.rpm
    MD5: fa8f2e997fb46e0858defbc14ca2b8b9
    SHA-256: 6d74a5d6e3250301b8e86a3098ce9670126903b6d36015a13fcac4cf70c963c9
    Size: 335.91 MB

Asianux Server 9 for x86_64
  1. grafana-10.2.6-9.el9_5.x86_64.rpm
    MD5: 6346657932436f07b681105dde11aa46
    SHA-256: 48a3ee22dc2c068735ae677b41d749e2c63cdca76464d93156ab4d54c82e04cb
    Size: 112.09 MB
  2. grafana-selinux-10.2.6-9.el9_5.x86_64.rpm
    MD5: 1c756c773b4e500c52cf2aa371b80937
    SHA-256: 6e078ff88dcb7096b25f2e7a1ce664ce93ac07161e4fa8956cd902ab6d5241f6
    Size: 25.17 kB