grafana-10.2.6-18.el9_7
エラータID: AXSA:2026-210:03
以下項目について対処しました。
[Security Fix]
- Go の net/url パッケージの net/http.Request.ParseForm()
メソッドには、クエリ内のパラメーター数を制限を実施していないこと
に起因して意図せず大量のメモリを消費してしまう問題があるため、
リモートの攻撃者により、サービス拒否攻撃 (メモリ枯渇) を可能と
する脆弱性が存在します。(CVE-2025-61726)
- Go の archive/zip パッケージ内のファイル名のインデックス処理
には、CPU リソースを多く消費してしまうアルゴリズムが使用されている
問題があるため、リモートの攻撃者により、細工された ZIP アーカイブ
ファイルの処理を介して、サービス拒否攻撃 (CPU リソース枯渇) を
可能とする脆弱性が存在します。(CVE-2025-61728)
- Golang の crypto/x509 ライブラリには、ループ内で過剰にプラット
フォームリソースを消費してしまう問題があるため、リモートの攻撃者
により、サービス拒否攻撃を可能とする脆弱性が存在します。
(CVE-2025-61729)
- Go の crypto/tls パッケージには、Config 内の ClientCAs
フィールドまたは RootCAs フィールドが最初のハンドシェイクと
再開後のハンドシェイクの間で変更されている場合、本来失敗するはず
の再開後のハンドシェイクが成功してしまう問題があるため、リモート
の攻撃者により、不正な認証を可能とする脆弱性が存在します。
(CVE-2025-68121)
- Grafana の ダッシュボード権限 API には、対象ダッシュボードの
スコープを検証せずに dashboards.permissions:* のアクション権限
のみをチェックしてしまうことに起因して本来実施されるべき認証の
チェック処理の迂回を許容してしまう問題があるため、対象のダッシュ
ボードでの権限の管理が可能なリモートの攻撃者により、他のダッシュ
ボードの権限の不正な読み取りや変更と、これによる権限昇格を可能と
する脆弱性が存在します。(CVE-2026-21721)
パッケージをアップデートしてください。
The net/url package does not set a limit on the number of query parameters in a query. While the maximum size of query parameters in URLs is generally limited by the maximum request header size, the net/http.Request.ParseForm method can parse large URL-encoded forms. Parsing a large form containing many unique query parameters can cause excessive memory consumption.
archive/zip uses a super-linear file name indexing algorithm that is invoked the first time a file in an archive is opened. This can lead to a denial of service when consuming a maliciously constructed ZIP archive.
Within HostnameError.Error(), when constructing an error string, there is no limit to the number of hosts that will be printed out. Furthermore, the error string is constructed by repeated string concatenation, leading to quadratic runtime. Therefore, a certificate provided by a malicious actor can result in excessive resource consumption.
During session resumption in crypto/tls, if the underlying Config has its ClientCAs or RootCAs fields mutated between the initial handshake and the resumed handshake, the resumed handshake may succeed when it should have failed. This may happen when a user calls Config.Clone and mutates the returned Config, or uses Config.GetConfigForClient. This can cause a client to resume a session with a server that it would not have resumed with during the initial handshake, or cause a server to resume a session with a client that it would not have resumed with during the initial handshake.
The dashboard permissions API does not verify the target dashboard scope and only checks the dashboards.permissions:* action. As a result, a user who has permission management rights on one dashboard can read and modify permissions on other dashboards. This is an organization‑internal privilege escalation.
N/A
SRPMS
- grafana-10.2.6-18.el9_7.src.rpm
MD5: dccdb01c86349d4bb3a843209751512b
SHA-256: fd552b6315cb1395036780c87595b025478fe7d1f9707a94146b62c2715d9152
Size: 335.91 MB
Asianux Server 9 for x86_64
- grafana-10.2.6-18.el9_7.x86_64.rpm
MD5: c7732728fe4f49461c3aec2865220f52
SHA-256: 4aa75576ee0ce5591d59f58480d0d0b88b5690e207c5c96966ebfa17bf22e9f9
Size: 113.37 MB - grafana-selinux-10.2.6-18.el9_7.x86_64.rpm
MD5: 283348c7bb9c67c1b5b098ed38a6c68a
SHA-256: 365b7c7ed0aba556471f73970d391f568810fc686dbbc549752a9255eada7f76
Size: 24.74 kB
English