Rocky Linux 8grafana (RLSA-2022:5717)
high Nessus 插件 ID 184702
语言:
简介
远程 Rocky Linux 主机缺少安全更新。描述
远程 Rocky Linux 8 主机上存在安装的程序包该程序包受到公告 RLSA-2022:5717 中提及的漏洞的影响。- Grafana 是用于监控和观察的开源平台。在 5.3 至 9.0.3 版、8.5.9、8.4.10 和 8.3.10 版中,经授权可以通过配置的 OAuth IdP(提供登录名称)登录 Grafana 实例的恶意用户可接管该 Grafana 实例中另一个用户的帐户。在下列情况下可发生此情形:恶意用户经授权可以通过 OAuth 登录 Grafana、恶意用户的外部用户 ID 尚未与 Grafana 中的帐户相关联、恶意用户的电子邮件地址尚未与 Grafana 中的帐户相关联、恶意用户知道目标用户的 Grafana 用户名。如果满足这些条件,恶意用户就可将 OAuth 提供程序中的用户名设置为目标用户的用户名,然后通过 OAuth 流程登录 Grafana。鉴于外部和内部用户帐户在登录期间的关联方式,如果上述条件全部满足,恶意用户就能够登录目标用户的 Grafana 帐户。 9.0.3、8.5.9、8.4.10 和 8.3.10 版包含针对此问题的补丁。作为变通方案,相关用户可禁用其 Grafana 实例的 OAuth 登录,或确保所有经授权可通过 OAuth 登录的用户在 Grafana 中具有与各自电子邮件地址相关联的用户帐户。
(CVE-2022-31107)
请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
更新受影响的 grafana 和/或 grafana-debuginfo 程序包。另见
插件详情
严重性: High
ID: 184702
文件名: rocky_linux_RLSA-2022-5717.nasl
版本: 1.0
类型: local
发布时间: 2023/11/6
最近更新时间: 2023/11/6
支持的传感器: Continuous Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 5.9
CVSS v2
风险因素: High
基本分数: 7.1
时间分数: 5.3
矢量: CVSS2#AV:N/AC:H/Au:S/C:C/I:C/A:C
CVSS 分数来源: CVE-2022-31107
CVSS v3
风险因素: High
基本分数: 7.5
时间分数: 6.5
矢量: CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: cpe:/o:rocky:linux:8, p-cpe:/a:rocky:linux:grafana, p-cpe:/a:rocky:linux:grafana-debuginfo
必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/RockyLinux/release, Host/RockyLinux/rpm-list
易利用性: No known exploits are available
补丁发布日期: 2022/7/26
漏洞发布日期: 2022/7/15
参考资料信息
CVE: CVE-2022-31107