Zum Inhalt springen
BlogSicherheitLinode Security Digest Dezember 4 - 11, 2022

Linode Security Digest 4. bis 11. Dezember 2022

Linode Security Digest

In der Zusammenfassung dieser Woche werden wir diskutieren:

  • eine Grafana Sicherheitsfreigabe;
  • Integer-Überlauf in VLC; und
  • eine Snapd-Race-Condition-Schwachstelle.

Grafana Sicherheitsfreigabe

Privilegienerweiterung: Unerlaubter Zugriff auf beliebige Endpunkte

CVE-2022-39328 ist eine Race Condition in der Grafana Codebasis, die es einem nicht authentifizierten Benutzer ermöglicht, einen beliebigen Endpunkt in Grafana abzufragen. Eine Wettlaufbedingung bei der HTTP-Kontexterstellung könnte dazu führen, dass einer HTTP-Anfrage die Authentifizierungs-/Autorisierungs-Middlewares eines anderen Aufrufs zugewiesen werden. Bei hoher Last ist es möglich, dass ein Aufruf, der durch eine privilegierte Middleware geschützt ist, stattdessen die Middleware einer öffentlichen Anfrage erhält. Infolgedessen kann ein nicht authentifizierter Benutzer erfolgreich geschützte Endpunkte in böswilliger Absicht abfragen.

Alle Installationen für Grafana Versionen >=9.2.x sind davon betroffen. Um CVE-2022-39328 vollständig zu beheben, empfiehlt Grafana , Ihre Instanzen zu aktualisieren. 

Eskalation von Privilegien: Benutzernamen/E-Mail-Adressen ist nicht zu trauen

Grafana Administratoren können andere Mitglieder in die Organisation einladen, für die sie Administrator sind. Wenn Administratoren der Organisation Mitglieder hinzufügen, erhalten nicht existierende Benutzer eine E-Mail-Einladung, während existierende Mitglieder direkt zur Organisation hinzugefügt werden. Wenn ein Einladungslink gesendet wird, kann sich jeder, der Zugriff auf den Link hat, mit einem beliebigen Benutzernamen/einer beliebigen E-Mail-Adresse anmelden und Mitglied der Organisation werden. Der CVSS-Wert für CVE-2022-39306 ist 6.4 Moderat.

All installations for Grafana versions <=9.x, <8.x are impacted. To fully address CVE-2022-39306, Grafana recommends upgrading your instances.

Aufzählung der Benutzernamen

Bei Verwendung der Funktion "Passwort vergessen" auf der Anmeldeseite wird eine POST-Anfrage an die URL /api/user/password/sent-reset-email gestellt. Wenn der Benutzername oder die E-Mail-Adresse nicht vorhanden sind, enthält eine JSON-Antwort die Meldung "Benutzer nicht gefunden", die von nicht authentifizierten Benutzern genutzt werden kann, um Informationen über betroffene Endpunkte offenzulegen.

The CVSS score for CVE-2022-39307 is 5.3 Moderate. All installations for Grafana versions <=9.x, <8.x are impacted. To fully address this vulnerability, Grafana recommends  upgrading your instances.

Integer-Überlauf in VLC

VLC Media Player (früher VideoLAN Client und allgemein als VLC bekannt) ist eine freie und quelloffene, portable, plattformübergreifende Media Player-Software und ein Streaming Media Server, der vom VideoLAN-Projekt entwickelt wurde. CVE-2022-41325 befindet sich im VNC-Modul. VLC kann einen VNC-Videostream anzeigen, indem es dessen URI verwendet: vlc vnc://ip_address_of_server:port/

Wenn ein Angreifer die Kontrolle über einen VNC-Server hat, kann er VLC dazu bringen, einen Speicherpuffer zuzuweisen, der kleiner ist als erwartet. Der Angreifer hat dann eine mächtige relative "Schreib-was-wo"-Primitive. Er kann VLC zum Absturz bringen oder unter bestimmten Bedingungen beliebigen Code ausführen. Obwohl die VNC-Unterstützung durch eine Drittanbieter-Bibliothek (LibVNCClient) bereitgestellt wird, befindet sich der betroffene Code in VLC selbst. 

Version 3.0.17.4 und früher sind betroffen. Das VLC-Team hat die Sicherheitslücke mit dem Commit hier behoben.

Snapd Race Condition-Schwachstelle

Das Programm snap-confine wird intern von snapd verwendet, um die Ausführungsumgebung für Snap-Anwendungen zu erstellen, bei denen es sich um containerisierte Softwarepakete handelt. CVE-2022-3328 beschreibt eine Race-Condition-Schwachstelle in der Funktion must_mkdir_and_open_with_perms() in snap-confine, die standardmäßig als SUID-Root-Programm auf Ubuntu installiert ist. Dies wurde als Teil der Korrektur für CVE-2021-44731 eingeführt.

Ein Angreifer mit normalen Benutzerrechten kann die Multipath Privilege Escalation Vulnerability (CVE-2022-41974) und die Multipath Symbolic Link Vulnerability nutzen, das Verzeichnis /tmp an ein beliebiges Verzeichnis im Dateisystem binden und die normalen Benutzerrechte auf ROOT-Rechte erhöhen. 

Betroffen sind die Snapd-Versionen 2.54.3 - 2.57.6. Derzeit ist die offizielle Sicherheitsversion veröffentlicht worden, um diese Schwachstelle zu beheben. Es wird empfohlen, dass betroffene Benutzer ein Upgrade auf eine neuere Version durchführen.


Kommentare

Kommentar abgeben

Ihre E-Mail Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit *gekennzeichnet