Oracle Linux 9:grafana (ELSA-2023-6420)
high Nessus 插件 ID 185870
语言:
简介
远程 Oracle Linux 主机缺少一个或多个安全更新。描述
远程 Oracle Linux 9 主机上安装的程序包受到 ELSA-2023-6420 公告中提及的多个漏洞的影响。- Grafana 是用于监控和观察的开源平台。从 8.1 分支开始,在 8.5.16、9.2.10 和 9.3.4 之前的版本中,Grafana 中存在一个影响核心插件 GeoMap 的存储型 XSS 漏洞。存储型 XSS 漏洞之所以可能存在,是因为 SVG 文件未经正确审查,并允许在 Grafana 实例当前授权用户的环境中执行任意 JavaScript。攻击者需要具有编辑者角色才能更改面板,以包含指向 SVG 文件(包含 JavaScript)的外部 URL,或使用 `data: ` 方案加载包含 JavaScript 的内联 SVG 文件。这意味着可能出现垂直权限升级,如果具有管理员角色的用户执行查看仪表板的恶意 JavaScript,则具有编辑器角色的用户可更改具有管理员角色的用户的已知密码。用户可将版本升级到 8.5.16、9.2.10 或 9.3.4 以接收修复程序。(CVE-2022-23552)
- Grafana 是一个开源观察和数据可视化平台。从 5.0.0-beta1 版本以及 8.5.14 和 9.1.8 之前的版本开始,Grafana 可能会将用户的身份验证 Cookie 泄露到插件中。
该漏洞在某些情况下会影响数据源和插件代理端点。目标插件可以接收用户的 Grafana 身份验证 Cookie。9.1.8 和 8.5.14 版本包含针对此问题的补丁。没有已知的变通方案。(CVE-2022-39201)
- Grafana 是用于监控和观察的开源平台。在登录页面上使用“忘记密码”时,系统会向 `/api/user/password/sent-reset-email` URL 发出 POST 请求。当用户名或电子邮件地址不存在时,JSON 响应中就会包含“未找到用户”的消息。这会将信息泄露给未经身份验证的用户并引入安全风险。已在版本 9.2.4 中修补此问题,并已向后移植到 8.5.15。没有已知的变通方案。(CVE-2022-39307)
- Grafana 是用于监控和观察的开源平台。 9.2.4 之前的版本或 8.X 分支上的 8.5.15 版均会受到不当输入验证的影响。Grafana 管理员可以邀请其他成员加入其担任管理员的组织。当管理员将成员添加到组织时,非现有用户就会收到电子邮件邀请,现有成员将被直接添加到组织中。邀请链接发出后,用户可以使用其选择的任何用户名/电子邮件地址进行注册,并可成为该组织的成员。此操作会引入一个可被恶意利用的漏洞。已在版本 9.2.4 中修补此问题,并已向后移植到 8.5.15。没有已知的变通方案。
(CVE-2022-39306)
- Grafana 是用于监控和观察的开源平台。在版本 8.5.16 和 9.2.8 之前,恶意用户可以通过 Web 代理创建快照,并可通过编辑查询来任意选择 `originalUrl` 参数。当其他用户打开快照的 URL 时,他们将看到由受信任的 Grafana 服务器提供的常规 Web 界面。`Open original dashboard` 按钮不再指向真正的原始仪表板,而是会指向攻击者的注入 URL。此问题已在 8.5.16 和 9.2.8 版本中得到修补。(CVE-2022-39324)
- Grafana 是一个开源观察和数据可视化平台。9.1.8 和 8.5.14 之前的版本容易遭受插件签名验证中的绕过攻击。即使不允许使用未签名的插件,攻击者也可以诱使服务器管理员下载并成功运行恶意插件。
9.1.8 和 8.5.14 版本包含针对此问题的补丁。解决方法是不安装从不受信任的来源下载的插件。(CVE-2022-31123)
- Grafana 是一个开源观察和数据可视化平台。在某些情况下,9.1.8 和 8.5.14 之前端点的 Grafana 版本可能会将身份验证标记泄露到某些目标插件中。该漏洞影响具有身份验证标记的数据源和插件代理端点。
目标插件可以接收用户的 Grafana 身份验证标记。9.1.8 和 8.5.14 版本包含针对此问题的补丁。解决方法是不使用 API 密钥、JWT 身份验证或任何基于身份验证的 HTTP 标头。(CVE-2022-31130)
- 攻击者可造成接受 HTTP/2 请求的 Go 服务器内存过度增长。HTTP/2 服务器连接包含客户端发送的 HTTP 标头密钥的缓存。尽管此缓存中的条目总数已上限,但攻击者可发送非常大的密钥,从而导致服务器为每个打开的连接分配大约 64 MiB。(CVE-2022-41717)
- 即使在解析小型输入时,HTTP 和 MIME 标头解析也可能会分配大量内存,从而可能导致拒绝服务。输入数据的某些异常模式可导致用于解析 HTTP 和 MIME 标头的通用函数分配远超所需的内容来保存已解析的标头。攻击者可能会利用此行为,导致 HTTP 服务器通过小型请求分配大量内存,从而可能导致内存耗尽和拒绝服务。
经修复后,标头解析现在可以正确分配所需内存来保存已解析的标头。
(CVE-2023-24534)
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
更新受影响的 grafana 程序包。另见
插件详情
严重性: High
ID: 185870
文件名: oraclelinux_ELSA-2023-6420.nasl
版本: 1.2
类型: local
代理: unix
发布时间: 2023/11/16
最近更新时间: 2025/9/9
支持的传感器: Frictionless Assessment Agent, Nessus Agent, Continuous Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 5.9
CVSS v2
风险因素: High
基本分数: 9.4
时间分数: 7
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:N
CVSS 分数来源: CVE-2022-39306
CVSS v3
风险因素: High
基本分数: 8.1
时间分数: 7.1
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
CVSS v4
风险因素: High
Base Score: 8.5
Threat Score: 5.9
Threat Vector: CVSS:4.0/E:U
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
CVSS 分数来源: CVE-2022-39201
漏洞信息
CPE: p-cpe:/a:oracle:linux:grafana, cpe:/o:oracle:linux:9
必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/OracleLinux
易利用性: No known exploits are available
补丁发布日期: 2023/11/11
漏洞发布日期: 2022/10/13
参考资料信息
CVE: CVE-2022-23552, CVE-2022-31123, CVE-2022-31130, CVE-2022-39201, CVE-2022-39306, CVE-2022-39307, CVE-2022-39324, CVE-2022-41717, CVE-2023-24534
IAVB: 2022-B-0059-S, 2023-B-0022-S