RHEL 9：grafana (RHSA-2023: 2167)

high Nessus 插件 ID 175483

语言：

简介

远程 Red Hat 主机缺少一个或多个 grafana 安全更新。

描述

远程 Redhat Enterprise Linux 9 主机上安装的程序包受到 RHSA-2023: 2167 公告中提及的多个漏洞影响。

- 在 Go 1.18.6 之前版本以及 1.19.1 1.19.x 之前版本中，如果关闭操作被致命错误抢占，则 HTTP/2 连接可在关闭期间挂起，攻击者可借此通过 net/http 造成拒绝服务。(CVE-2022-27664)

- ReverseProxy 转发的请求包括入站请求的原始查询参数，包括 net/http 拒绝的无法解析的参数。当 Go 代理转发具有不可解析值的参数时，这可能允许查询参数走私。修复后，在 ReverseProxy 之后设置出站请求的表单字段时，ReverseProxy 会审查转发的查询中的查询参数。Director 函数返回即表示代理已解析查询参数。不解析查询参数的代理继续转发不变的原始查询参数。(CVE-2022-2880)

- Grafana 是用于监控和观察的开源平台。当使用 auth 代理时， 9.1.6 和 8.5.13 之前的版本容易受到从管理员到服务器管理员的权限提升的影响，从而允许管理员接管服务器管理员帐户并获得对 grafana 实例的完全控制。您应尽快升级所有安装。作为变通方案，请按照以下说明停用认证代理：
https://grafana.com/docs/grafana/latest/setup-grafana/configure-security/configure-authentication/auth-proxy/ (CVE-2022-35957)

- Grafana 是一个针对指标、日志和追踪的开源数据可视化平台。9.1.8 和 8.5.14 之前的版本允许用户通过将其他人的电子邮件地址注册为用户名来阻止其他用户登录尝试。Grafana 用户的用户名和电子邮件地址是唯一的字段，这意味着其他用户不能与另一名用户具有相同的用户名或电子邮件地址。用户可将电子邮件地址作为用户名。但是，登录系统允许用户使用用户名或电子邮件地址登录。由于 Grafana 允许用户使用其用户名或电子邮件地址登录，因此通常情况下，“user_1”可使用一个电子邮件地址进行注册，而“user_2”可将其用户名注册为“user_1”的电子邮件地址。这会阻止“user_1”登录到应用程序，因为“user_1”的密码与“user_2”的电子邮件地址不匹配。版本 9.1.8、8.5.14 包含补丁。目前尚无针对此问题的解决方案。(CVE-2022-39229)

- 从不受信任的来源编译正则表达式的程序容易受到内存耗尽或拒绝服务的影响。解析后的 regexp 表示与输入的大小成线性关系，但在某些情况下，常数因子可高达 40,000，使得相对较小的 regexp 消耗大量内存。修复后，每个被解析的 regexp 被限制为 256 MB 内存占用。正则表达式的表示会使用比拒绝的表达式更多的空间。正则表达式的正常使用不受影响。 (CVE-2022-41715)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。