AlmaLinux 8grafana (ALSA-2022:7519)

high Nessus 插件 ID 167307

语言：

简介

远程AlmaLinux 主机缺少一个或多个安全更新。

描述

远程 AlmaLinux 8 主机上安装有程序包该程序包受到公告 ALSA-2022:7519 中提及的多个漏洞的影响。

- 由于未正确审查 sanitizeUrl 函数，低于 6.0.0 版的程序包 @braintree/sanitize-url 容易受到跨站脚本 (XSS) 的攻击。(CVE-2021-23648)

- 在 Go 1.17.12 和 Go 1.18.4 版之前的 net/http 的 HTTP/1 客户端中接受某些无效的 Transfer-Encoding 标头后，如果与同样未能将标头正确拒绝为无效的中间服务器结合，则允许 HTTP 请求走私。(CVE-2022-1705)

- Go 1.17.12 和 Go 1.18.4 之前版本中，go/parser 函数中不受控制的递归允许攻击者通过深度嵌套的类型或声明造成堆栈耗尽。(CVE-2022-1962)

- Grafana 是用于监控和观察的开源平台。在受影响的版本中，当数据源启用了“转发 OAuth 身份”功能时，向具有 API 标记（且无其他用户凭据）的该数据源发送查询将转发最近登录用户的 OAuth 身份。
这可允许 API 令牌持有者检索他们可能无权访问的数据。此攻击依赖具有支持“转发 OAuth 身份”功能的数据源的 Grafana 实例、具有切换为“转发 OAuth 身份”功能的数据源的 Grafana 实例、已启用 OAuth 的 Grafana 实例以及具有可用 API 密钥的 Grafana 实例。已在版本 7.5.13 和 8.3.4 中修补此问题。(CVE-2022-21673)

- client_golang 是 Prometheus 中 Go 应用程序的检测库，client_golang 中的 promhttp 程序包可提供有关 HTTP 服务器和客户端的工具。在低于 1.11.1 版本的 client_golang 中，当使用非标准 HTTP 方法处理请求时，HTTP 服务器容易受到通过无限制基数而导致的拒绝服务以及潜在内存耗尽问题的影响。必须满足以下条件，受检测的软件才会受到影响：使用除 `RequestsInFlight` 以外的任何 `promhttp.InstrumentHandler*` 中间件；
在中间件之前，不过滤任何特定方法（例如 GET）；将带有 `method` 标签名称的指标传递给我们的中间件；并且没有任何防火墙/LB/代理过滤掉具有未知 `method` 的请求。
client_golang 1.11.1 版本包含针对此问题的补丁。有多种变通方案可用，包括从 InstrumentHandler 使用的计数器/测量仪器中删除 `method` 标签名称；关闭受影响的 promhttp 处理程序；在 promhttp 处理程序之前添加自定义中间件，用于审查 Go http.Request 提供的请求方法；以及使用配置为仅允许有限方法集的反向代理或 Web 应用程序防火墙。(CVE-2022-21698)

- Grafana 是用于监控和观察的开源平台。在受影响的版本中，攻击者可通过 Grafana 数据源或插件代理提供 HTML 内容，并使用特制的链接诱骗用户访问此 HTML 页面，并执行跨站脚本 (XSS) 攻击。攻击者可以破坏特定 Grafana 实例的现有数据源，也可以设置其自己的公共服务并指示任何人在其 Grafana 实例中进行设置。受到影响的版本一定符合以下所有条件。对于数据源代理配置了以服务器作为访问模式和 URL 集的基于 Grafana HTTP 的数据源攻击者必须能够控制为上述数据源的 URL 提供服务的 HTTP 服务器以及指向攻击者的特别构建的链接必须由经过身份验证的用户点击受控数据源。对于插件代理使用 URL 集配置和启用的基于 Grafana HTTP 的应用插件攻击者必须能够控制为上述应用程序的 URL 提供服务的 HTTP 服务器并且必须指向攻击者控制的插件的特制链接由经过认证的用户登录。对于后端插件资源攻击者必须能够通过构建的链接将经过身份验证的用户导航到已遭入侵的插件。建议用户更新到安装补丁的版本。目前尚无针对此漏洞的变通方案。(CVE-2022-21702)

- Grafana 是用于监控和观察的开源平台。受影响的版本受到一个跨站请求伪造漏洞的影响，该漏洞允许攻击者通过对经身份验证的高权限 Grafana 用户（例如 Editors 或 Admins）发起跨源攻击来提升其权限。
攻击者可通过诱骗经身份验证的用户以高权限新用户身份邀请攻击者，从而利用此漏洞进行权限提升。建议用户尽快升级。目前尚无针对此问题的解决方案。(CVE-2022-21703)

- Grafana 是用于监控和观察的开源平台。受影响的 Grafana 版本暴露多个 API 端点这些端点无法正确处理用户授权。 “/teams/:teamId” 将允许经身份验证的攻击者通过查询特定团队 ID 查看非预期数据“/teams/:search” 将允许经身份验证的攻击者搜索团队并查看可用团队的总数包括针对用户无权访问的团队以及“/teams/:teamId/members”启用 editors_can_admin 标记时经身份验证的攻击者可通过查询特定团队 ID 查看非预期数据。
建议用户尽快升级。针对此问题，尚无已知的变通方案。
(CVE-2022-21713)

- 在 1.17.12 之前的 Go 和 1.18.x 之前的 1.18.4中，encoding/xml 的 Decoder.Skip 中通过深度嵌套的 XML 文档可发生堆栈耗尽和错误。(CVE-2022-28131)

- Go 1.17.12 和 Go 1.18.4 之前的 Glob 中不受控制的递归允许攻击者通过包含大量路径分隔符的路径，由于堆栈耗尽而造成错误。
(CVE-2022-30630)

- Go 1.17.12 和 Go 1.18.4 之前版本中，compress/gzip 中的 Reader.Read 中不受控制的递归允许攻击者通过包含大量连接的 0 长度压缩文件的存档，由于堆栈耗尽而造成错误。(CVE-2022-30631)

- Go 1.17.12 和 Go 1.18.4 之前版本中，path/filepath 中的 Glob 中不受控制的递归允许攻击者通过包含大量路径分隔符的路径，由于堆栈耗尽而造成错误。
(CVE-2022-30632)

- Go 1.17.12和 Go 1.18.4 之前的版本中，encoding/xml 中的 Unmarshal 中不受控制的递归允许攻击者通过将 XML 文档解组到具有使用“any”字段标记的嵌套字段的 Go 结构中来造成错误。(CVE-2022-30633)

- Go 1.17.12 和 Go 1.18.4 之前的版本中，encoding/gob 中的 Decoder.Decode 中不受控制的递归允许攻击者通过包含深度嵌套结构的消息，由于堆栈耗尽而造成错误。
(CVE-2022-30635)

- Go 1.17.12 和 Go 1.18.4 之前的版本中，net/http 中不当暴露客户端 IP 地址可通过使用包含 X-Forwarded-For 标头的 nil 值的 Request.Header 映射调用 httputil.ReverseProxy.ServeHTTP 来触发，这会造成 ReverseProxy 将客户端 IP 设置为 X-Forwarded-For 标头的值。(CVE-2022-32148)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。