grafana-10.2.6-22.el9_8
エラータID: AXSA:2026-1216:16
リリース日:
2026/07/08 Wednesday - 15:26
題名:
grafana-10.2.6-22.el9_8
影響のあるチャネル:
MIRACLE LINUX 9 for x86_64
Severity:
High
Description:
以下項目について対処しました。
[Security Fix]
- grafana には、公開ダッシュボードとダイレクトデータソース機能を
使用している場合、ダッシュボードでパスワードを利用していない状況
下でもすべてのダイレクトデータソースのパスワードが漏洩してしまう
問題があるため、リモートの攻撃者により、不正な認証を可能とする
脆弱性が存在します。(CVE-2026-27877)
- Golang の os パッケージの Root.Chmod() 関数には、シンボリック
リンク先のファイルに対して操作を実施してしまう問題があるため、
ローカルの攻撃者により、ファイルシステム上における許可されていない
パーミッション変更を可能とする脆弱性が存在します。
(CVE-2026-32282)
- Golang の crypto/tls パッケージには、TLS 1.3 のハンドシェイク後
の処理においてデッドロックに至る問題があるため、リモートの攻撃者
により、サービス拒否攻撃を可能とする脆弱性が存在します。
(CVE-2026-32283)
解決策:
パッケージをアップデートしてください。
CVE:
CVE-2026-27877
When using public dashboards and direct data-sources, all direct data-sources' passwords are exposed despite not being used in dashboards. No passwords of proxied data-sources are exposed. We encourage all direct data-sources to be converted to proxied data-sources as far as possible to improve your deployments' security.
When using public dashboards and direct data-sources, all direct data-sources' passwords are exposed despite not being used in dashboards. No passwords of proxied data-sources are exposed. We encourage all direct data-sources to be converted to proxied data-sources as far as possible to improve your deployments' security.
CVE-2026-32282
On Linux, if the target of Root.Chmod is replaced with a symlink while the chmod operation is in progress, Chmod can operate on the target of the symlink, even when the target lies outside the root. The Linux fchmodat syscall silently ignores the AT_SYMLINK_NOFOLLOW flag, which Root.Chmod uses to avoid symlink traversal. Root.Chmod checks its target before acting and returns an error if the target is a symlink lying outside the root, so the impact is limited to cases where the target is replaced with a symlink between the check and operation.
On Linux, if the target of Root.Chmod is replaced with a symlink while the chmod operation is in progress, Chmod can operate on the target of the symlink, even when the target lies outside the root. The Linux fchmodat syscall silently ignores the AT_SYMLINK_NOFOLLOW flag, which Root.Chmod uses to avoid symlink traversal. Root.Chmod checks its target before acting and returns an error if the target is a symlink lying outside the root, so the impact is limited to cases where the target is replaced with a symlink between the check and operation.
CVE-2026-32283
If one side of the TLS connection sends multiple key update messages post-handshake in a single record, the connection can deadlock, causing uncontrolled consumption of resources. This can lead to a denial of service. This only affects TLS 1.3.
If one side of the TLS connection sends multiple key update messages post-handshake in a single record, the connection can deadlock, causing uncontrolled consumption of resources. This can lead to a denial of service. This only affects TLS 1.3.
追加情報:
N/A
ダウンロード:
SRPMS
- grafana-10.2.6-22.el9_8.src.rpm
MD5: fdd18f2e9c2353eb15ee3b56c839f873
SHA-256: 388ecbae37fc5f303ee7a9168a4eec091882e05fda4dba2882658fde911397a7
Size: 335.91 MB
Asianux Server 9 for x86_64
- grafana-10.2.6-22.el9_8.x86_64.rpm
MD5: 9058085cada067e880206862dbdb1ac4
SHA-256: d992390764e4ef158eb36b1baecf30c1df585f4c06f204c57266664004f0dabc
Size: 113.80 MB - grafana-selinux-10.2.6-22.el9_8.x86_64.rpm
MD5: 8405ae959fc205322f6cb37c3f942129
SHA-256: 5108bf9b0a7a8afd68363a1b94298651946d999ca09a6766d270df082fbb2dcd
Size: 25.03 kB