Oracle Linux 9:grafana (ELSA-2022-8057)
high Nessus 插件 ID 168119
语言:
简介
远程 Oracle Linux 主机缺少一个或多个安全更新。描述
远程 Oracle Linux 9 主机上安装的程序包受到 ELSA-2022-8057 公告中提及的多个漏洞的影响。- client_golang 是 Prometheus 中 Go 应用程序的检测库,client_golang 中的 promhttp 程序包可提供有关 HTTP 服务器和客户端的工具。在低于 1.11.1 版本的 client_golang 中,当使用非标准 HTTP 方法处理请求时,HTTP 服务器容易受到通过无限制基数而导致的拒绝服务以及潜在内存耗尽问题的影响。必须满足以下条件,受检测的软件才会受到影响:使用除 `RequestsInFlight` 以外的任何 `promhttp.InstrumentHandler*` 中间件;
在中间件之前,不过滤任何特定方法(例如 GET);将带有 `method` 标签名称的指标传递给我们的中间件;并且没有任何防火墙/LB/代理过滤掉具有未知 `method` 的请求。
client_golang 1.11.1 版本包含针对此问题的补丁。有多种变通方案可用,包括从 InstrumentHandler 使用的计数器/测量仪器中删除 `method` 标签名称;关闭受影响的 promhttp 处理程序;在 promhttp 处理程序之前添加自定义中间件,用于审查 Go http.Request 提供的请求方法;以及使用配置为仅允许有限方法集的反向代理或 Web 应用程序防火墙。(CVE-2022-21698)
- Grafana 是用于监控和观察的开源平台。受影响的 Grafana 版本暴露多个未正确处理用户授权的 API 端点。`/teams/:teamId` 将允许经身份验证的攻击者通过查询特定团队 ID 来查看意外数据,`/teams/: search` 将允许经身份验证的攻击者搜索团队并查看可用团队的总数,包括用户无权访问的团队,以及 `/teams/: teamId/members` 当启用 editors_can_admin 标志时,经过身份验证的攻击者可以通过查询特定团队 ID 来查看意外数据。
建议用户尽快升级。针对此问题,尚无已知的变通方案。
(CVE-2022-21713)
- Go 1.17.12 和 Go 1.18.4 之前的版本中,net/http 中不当暴露客户端 IP 地址可通过使用包含 X-Forwarded-For 标头的 nil 值的 Request.Header 映射调用 httputil.ReverseProxy.ServeHTTP 来触发,这会造成 ReverseProxy 将客户端 IP 设置为 X-Forwarded-For 标头的值。(CVE-2022-32148)
- Grafana 是用于监控和观察的开源平台。受影响的版本受到一个跨站请求伪造漏洞的影响,该漏洞允许攻击者通过对经身份验证的高权限 Grafana 用户(例如 Editors 或 Admins)发起跨源攻击来提升其权限。
攻击者可通过诱骗经身份验证的用户以高权限新用户身份邀请攻击者,从而利用此漏洞进行权限提升。建议用户尽快升级。目前尚无针对此问题的解决方案。(CVE-2022-21703)
- Go 1.17.12 和 Go 1.18.4 之前版本中,path/filepath 中的 Glob 中不受控制的递归允许攻击者通过包含大量路径分隔符的路径,由于堆栈耗尽而造成错误。
(CVE-2022-30632)
- Grafana 是用于监控和观察的开源平台。在受影响的版本中,当数据源启用了“转发 OAuth 身份”功能时,向具有 API 标记(且无其他用户凭据)的该数据源发送查询将转发最近登录用户的 OAuth 身份。
这可允许 API 令牌持有者检索他们可能无权访问的数据。此攻击依赖具有支持“转发 OAuth 身份”功能的数据源的 Grafana 实例、具有切换为“转发 OAuth 身份”功能的数据源的 Grafana 实例、已启用 OAuth 的 Grafana 实例以及具有可用 API 密钥的 Grafana 实例。已在版本 7.5.13 和 8.3.4 中修补此问题。(CVE-2022-21673)
- Grafana 是用于监控和观察的开源平台。在受影响的版本中,攻击者可通过 Grafana 数据源或插件代理提供 HTML 内容,并使用特制的链接诱骗用户访问此 HTML 页面,并执行跨站脚本 (XSS) 攻击。攻击者可以破坏特定 Grafana 实例的现有数据源,也可以设置其自己的公共服务并指示任何人在其 Grafana 实例中进行设置。受到影响的版本一定符合以下所有条件。对于数据源代理:基于 Grafana HTTP 的数据源配置了服务器作为访问模式和 URL 集,攻击者必须控制提供上述数据源 URL 的 HTTP 服务器,并且指向攻击者控制的数据源的特制链接必须由经过身份验证的用户单击。对于插件代理:基于 Grafana HTTP 的应用程序插件配置并启用了一个 URL 集,攻击者必须控制提供上述应用程序 URL 的 HTTP 服务器,并且指向攻击者控制的插件的特制链接必须由经过身份验证的用户单击。对于后端插件资源:攻击者必须能够通过构建的链接将经身份验证的用户导航到受损插件。建议用户更新到安装补丁的版本。目前尚无针对此漏洞的变通方案。(CVE-2022-21702)
- Go 1.17.12 和 Go 1.18.4 之前的 Glob 中不受控制的递归允许攻击者通过包含大量路径分隔符的路径,由于堆栈耗尽而造成错误。
(CVE-2022-30630)
- Go 1.17.12 和 Go 1.18.4 之前版本中,go/parser 函数中不受控制的递归允许攻击者通过深度嵌套的类型或声明造成堆栈耗尽。(CVE-2022-1962)
- Go 1.17.12 和 Go 1.18.4 之前版本中,compress/gzip 中的 Reader.Read 中不受控制的递归允许攻击者通过包含大量连接的 0 长度压缩文件的存档,由于堆栈耗尽而造成错误。(CVE-2022-30631)
- 由于未正确审查 sanitizeUrl 函数,低于 6.0.0 版的程序包 @braintree/sanitize-url 容易受到跨站脚本 (XSS) 的攻击。(CVE-2021-23648)
- 在 Go 1.17.12 和 Go 1.18.4 之前的 net/http 客户端中接受某些无效的 Transfer-Encoding 标头后,如果与同样未能将标头正确拒绝为无效的中间服务器结合,则允许 HTTP 请求走私。(CVE-2022-1705)
- Go 1.17.12 和 Go 1.18.4 之前的版本中,encoding/gob 中的 Decoder.Decode 中不受控制的递归允许攻击者通过包含深度嵌套结构的消息,由于堆栈耗尽而造成错误。
(CVE-2022-30635)
- Go 1.17.12和 Go 1.18.4 之前的版本中,encoding/xml 中的 Unmarshal 中不受控制的递归允许攻击者通过将 XML 文档解组到具有使用“any”字段标记的嵌套字段的 Go 结构中来造成错误。(CVE-2022-30633)
- 在 1.17.12 之前的 Go 和 1.18.x 之前的 1.18.4中,encoding/xml 的 Decoder.Skip 中通过深度嵌套的 XML 文档可发生堆栈耗尽和错误。(CVE-2022-28131)
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
更新受影响的 grafana 程序包。另见
插件详情
严重性: High
ID: 168119
文件名: oraclelinux_ELSA-2022-8057.nasl
版本: 1.4
类型: local
代理: unix
发布时间: 2022/11/22
最近更新时间: 2023/10/2
支持的传感器: Frictionless Assessment Agent, Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 5.9
CVSS v2
风险因素: Medium
基本分数: 6.8
时间分数: 5.3
矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
CVSS 分数来源: CVE-2022-21703
CVSS v3
风险因素: High
基本分数: 8.8
时间分数: 7.9
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
漏洞信息
CPE: cpe:/o:oracle:linux:9, p-cpe:/a:oracle:linux:grafana
必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/OracleLinux
可利用: true
易利用性: Exploits are available
补丁发布日期: 2022/11/22
漏洞发布日期: 2022/1/18
参考资料信息
CVE: CVE-2021-23648, CVE-2022-1705, CVE-2022-1962, CVE-2022-21673, CVE-2022-21698, CVE-2022-21702, CVE-2022-21703, CVE-2022-21713, CVE-2022-28131, CVE-2022-30630, CVE-2022-30631, CVE-2022-30632, CVE-2022-30633, CVE-2022-30635, CVE-2022-32148
IAVB: 2022-B-0025-S