检测

AlmaLinux 8 grafana (ALSA-2020:4682)

medium Nessus 插件 ID 157665

语言:

简介

远程AlmaLinux 主机缺少一个或多个安全更新。

描述

远程 AlmaLinux 8 主机存在安装的程序包该程序包受到 ALSA-2020:4682 公告中提及的多个漏洞的影响。

 - Grafana 5.3.1 通过 Dashboard > Table Panel 屏幕上的列样式造成 XSS 漏洞。注意:存在此问题的原因是对 CVE-2018-12099 的修复不完整。(CVE-2018-18624)

 - Grafana 6.4.3 及之前的版本存在一个任意文件读取漏洞,经过身份验证且拥有修改数据源配置权限的攻击者会利用此漏洞。(CVE-2019-19499)

 - Grafana 6.7.1 及之前的版本允许存储的 XSS,这是 originalUrl 字段中的输入保护不足所致,该漏洞允许攻击者注入 JavaScript 代码,以在访问快照后点击 Open Original Dashboard 后执行。(CVE-2020-11110)

 - Grafana 6.7.3 之前的版本易受注释弹出 XSS 的影响。(CVE-2020-12052)

 - Grafana 6.7.3 之前的版本允许通过 column.title 或 cellLinkTooltip 支持 table-panel XSS。(CVE-2020-12245)

 - 在 6.7.3 及之前的 Grafana 版本中发现一个信息泄露缺陷 。数据库目录 /var/lib/grafana 和数据库文件 /var/lib/grafana/grafana.db 为全局可读。这会导致敏感信息暴露(如明文或加密的数据源密码)。(CVE-2020-12458)

 - 在 Grafana 6.x 至 6.3.6 版本的某些 Red Hat 程序包中,配置文件 /etc/grafana/grafana.ini 和 /etc/grafana/ldap.toml(包含 secret_key 和 bind_password)为全局可读。(CVE-2020-12459)

 - Grafana 7.0.0 之前的版本允许通过 OpenTSDB 数据源支持标签值 XSS。(CVE-2020-13430)

请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的程序包。

另见

https://errata.almalinux.org/8/ALSA-2020-4682.html

插件详情

严重性: Medium

ID: 157665

文件名: alma_linux_ALSA-2020-4682.nasl

版本: 1.5

类型: local

发布时间: 2022/2/9

最近更新时间: 2023/11/10

支持的传感器: Continuous Assessment, Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 4.4

CVSS v2

风险因素: Medium

基本分数: 4.3

时间分数: 3.4

矢量: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N

CVSS 分数来源: CVE-2020-13430

CVSS v3

风险因素: Medium

基本分数: 6.5

时间分数: 5.9

矢量: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

CVSS 分数来源: CVE-2019-19499

漏洞信息

CPE: p-cpe:/a:alma:linux:grafana-graphite, p-cpe:/a:alma:linux:grafana-mysql, p-cpe:/a:alma:linux:grafana-mssql, p-cpe:/a:alma:linux:grafana-opentsdb, p-cpe:/a:alma:linux:grafana-influxdb, p-cpe:/a:alma:linux:grafana-postgres, cpe:/o:alma:linux:8, p-cpe:/a:alma:linux:grafana-azure-monitor, p-cpe:/a:alma:linux:grafana-loki, p-cpe:/a:alma:linux:grafana-cloudwatch, p-cpe:/a:alma:linux:grafana-elasticsearch, p-cpe:/a:alma:linux:grafana-stackdriver, p-cpe:/a:alma:linux:grafana-prometheus, p-cpe:/a:alma:linux:grafana

必需的 KB 项: Host/local_checks_enabled, Host/AlmaLinux/release, Host/AlmaLinux/rpm-list, Host/cpu

可利用: true

易利用性: Exploits are available

补丁发布日期: 2020/11/3

漏洞发布日期: 2020/4/24

参考资料信息

CVE: CVE-2018-18624, CVE-2019-19499, CVE-2020-11110, CVE-2020-12052, CVE-2020-12245, CVE-2020-12458, CVE-2020-12459, CVE-2020-13430