Rocky Linux 8grafana (RLSA-2022:7519)

high Nessus 插件 ID 167790

语言：

简介

远程 Rocky Linux 主机缺少一个或多个安全更新。

描述

远程 Rocky Linux 8 主机上存在安装的程序包该程序包受到公告 RLSA-2022:7519 中提及的多个漏洞的影响。

- Grafana 是用于监控和观察的开源平台。受影响的版本受到一个跨站请求伪造漏洞的影响，该漏洞允许攻击者通过对经身份验证的高权限 Grafana 用户（例如 Editors 或 Admins）发起跨源攻击来提升其权限。
攻击者可通过诱骗经身份验证的用户以高权限新用户身份邀请攻击者，从而利用此漏洞进行权限提升。建议用户尽快升级。目前尚无针对此问题的解决方案。(CVE-2022-21703)

- 由于未正确审查 sanitizeUrl 函数，低于 6.0.0 版的程序包 @braintree/sanitize-url 容易受到跨站脚本 (XSS) 的攻击。(CVE-2021-23648)

- Grafana 是用于监控和观察的开源平台。在受影响的版本中，当数据源启用了“转发 OAuth 身份”功能时，向具有 API 标记（且无其他用户凭据）的该数据源发送查询将转发最近登录用户的 OAuth 身份。
这可允许 API 令牌持有者检索他们可能无权访问的数据。此攻击依赖具有支持“转发 OAuth 身份”功能的数据源的 Grafana 实例、具有切换为“转发 OAuth 身份”功能的数据源的 Grafana 实例、已启用 OAuth 的 Grafana 实例以及具有可用 API 密钥的 Grafana 实例。已在版本 7.5.13 和 8.3.4 中修补此问题。(CVE-2022-21673)

- Grafana 是用于监控和观察的开源平台。在受影响的版本中，攻击者可通过 Grafana 数据源或插件代理提供 HTML 内容，并使用特制的链接诱骗用户访问此 HTML 页面，并执行跨站脚本 (XSS) 攻击。攻击者可以破坏特定 Grafana 实例的现有数据源，也可以设置其自己的公共服务并指示任何人在其 Grafana 实例中进行设置。受到影响的版本一定符合以下所有条件。对于数据源代理配置了以服务器作为访问模式和 URL 集的基于 Grafana HTTP 的数据源攻击者必须能够控制为上述数据源的 URL 提供服务的 HTTP 服务器以及指向攻击者的特别构建的链接必须由经过身份验证的用户点击受控数据源。对于插件代理使用 URL 集配置和启用的基于 Grafana HTTP 的应用插件攻击者必须能够控制为上述应用程序的 URL 提供服务的 HTTP 服务器并且必须指向攻击者控制的插件的特制链接由经过认证的用户登录。对于后端插件资源攻击者必须能够通过构建的链接将经过身份验证的用户导航到已遭入侵的插件。建议用户更新到安装补丁的版本。目前尚无针对此漏洞的变通方案。(CVE-2022-21702)

- Grafana 是用于监控和观察的开源平台。受影响的 Grafana 版本暴露多个 API 端点这些端点无法正确处理用户授权。 “/teams/:teamId” 将允许经身份验证的攻击者通过查询特定团队 ID 查看非预期数据“/teams/:search” 将允许经身份验证的攻击者搜索团队并查看可用团队的总数包括针对用户无权访问的团队以及“/teams/:teamId/members”启用 editors_can_admin 标记时经身份验证的攻击者可通过查询特定团队 ID 查看非预期数据。
建议用户尽快升级。针对此问题，尚无已知的变通方案。
(CVE-2022-21713)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。