CentOS 9 : grafana-9.0.9-1.el9
high Nessus 插件 ID 191236
语言:
简介
远程 CentOS 主机缺少一个或多个 grafana 相关安全性更新。描述
远程 CentOS Linux 9 主机上安装的一个程序包受到 grafana-9.0.9-1.el9 版本变更日志中提及的多个漏洞影响。- XSS (CVE-2021-23648)
- Grafana 是一个开源数据可视化平台。在受影响的版本中,未经身份验证和经过身份验证的用户可以访问文字路径 /dashboard/snapshot/:key, or /api/snapshots/:key 查看设有最低数据库密钥的快照。如果快照 public_mode 配置设置为 true(默认为 false),则未经身份验证的用户可以访问文字路径 /api/snapshots-delete/:deleteKey 删除设有最低数据库密钥的快照。无论快照 public_mode 设置如何,经过身份验证的用户都可以访问文字路径 /api/snapshots/:key 或 /api/snapshots-delete/:deleteKey 删除具有最低数据库密钥的快照。如果既删除又查看,则可完整遍历所有快照数据,同时导致快照数据完全丢失。此问题已在版本 8.1.6 和 7.5.11 中得到解决。如果由于某种原因无法升级,可以使用反向代理或类似工具阻止访问文字路径:
/api/snapshots/:key、/api/snapshots-delete/:deleteKey、/dashboard/snapshot/:key 和 /api/snapshots/:key。
这些路径功能异常,可以禁用而不会产生副作用。 (CVE-2021-39226)
- *.md 文件的目录遍历漏洞 (CVE-2021-43813)
- net/http: 限制标头规范化缓存的增长 (CVE-2021-44716)
-net/http: 未正确审查 Transfer-Encoding 标头 (CVE-2022-1705)
- 所有 Parse* 函数中的 go/parser: 堆栈耗尽问题 (CVE-2022-1962)
- Forward OAuth Identity 标记允许用户访问部分数据源 (CVE-2022-21673)
- client_golang 是 Prometheus 中 Go 应用程序的检测库,client_golang 中的 promhttp 程序包可提供有关 HTTP 服务器和客户端的工具。在低于 1.11.1 版本的 client_golang 中,当使用非标准 HTTP 方法处理请求时,HTTP 服务器容易受到通过无限制基数而导致的拒绝服务以及潜在内存耗尽问题的影响。必须满足以下条件,受检测的软件才会受到影响:使用除 `RequestsInFlight` 以外的任何 `promhttp.InstrumentHandler*` 中间件;
在中间件之前,不过滤任何特定方法(例如 GET);将带有 `method` 标签名称的指标传递给我们的中间件;并且没有任何防火墙/LB/代理过滤掉具有未知 `method` 的请求。
client_golang 1.11.1 版本包含针对此问题的补丁。有多种变通方案可用,包括从 InstrumentHandler 使用的计数器/测量仪器中删除 `method` 标签名称;关闭受影响的 promhttp 处理程序;在 promhttp 处理程序之前添加自定义中间件,用于审查 Go http.Request 提供的请求方法;以及使用配置为仅允许有限方法集的反向代理或 Web 应用程序防火墙。(CVE-2022-21698)
- 数据源处理中的 XSS 漏洞 (CVE-2022-21702)
- CSRF 漏洞可能导致特权提升 (CVE-2022-21703)
- IDOR 漏洞可导致信息泄露 (CVE-2022-21713)
- Decoder.Skip 中的 encoding/xml: 堆栈耗尽问题 (CVE-2022-28131)
- Glob 中的 io/fs: 堆栈耗尽问题 (CVE-2022-30630)
- Reader.Read 中的 compress/gzip: 堆栈耗尽问题 (CVE-2022-30631)
- Glob 中的 path/filepath: 堆栈耗尽问题 (CVE-2022-30632)
- Unmarshal 中的 encoding/xml: 堆栈耗尽问题 (CVE-2022-30633)
- Decoder.Decode 中的 encoding/gob: 堆栈耗尽问题 (CVE-2022-30635)
- OAuth 帐户接管 (CVE-2022-31107)
- net/http/httputil: NewSingleHostReverseProxy (CVE-2022-32148)
- 使用认证代理时从 admin 升级到服务器 admin (rhbz#2125530) (CVE-2022-35957)
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
更新 CentOS 9 Stream grafana 程序包。另见
https://kojihub.stream.centos.org/koji/buildinfo?buildID=25085
插件详情
严重性: High
ID: 191236
文件名: centos9_grafana-9_0_9-1.nasl
版本: 1.1
类型: local
代理: unix
发布时间: 2024/2/29
最近更新时间: 2024/4/26
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 5.9
CVSS v2
风险因素: Medium
基本分数: 6.8
时间分数: 5.6
矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
CVSS 分数来源: CVE-2022-21703
CVSS v3
风险因素: High
基本分数: 8.8
时间分数: 8.2
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:F/RL:O/RC:C
漏洞信息
CPE: p-cpe:/a:centos:centos:grafana, cpe:/a:centos:centos:9
必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/CentOS/release, Host/CentOS/rpm-list
可利用: true
易利用性: Exploits are available
补丁发布日期: 2022/9/22
漏洞发布日期: 2021/10/5
CISA 已知可遭利用的漏洞到期日期: 2022/9/15
参考资料信息
CVE: CVE-2021-23648, CVE-2021-39226, CVE-2021-43813, CVE-2021-44716, CVE-2022-1705, CVE-2022-1962, CVE-2022-21673, CVE-2022-21698, CVE-2022-21702, CVE-2022-21703, CVE-2022-21713, CVE-2022-28131, CVE-2022-30630, CVE-2022-30631, CVE-2022-30632, CVE-2022-30633, CVE-2022-30635, CVE-2022-31107, CVE-2022-32148, CVE-2022-35957