リリース概要
PMM 3.4.1は、いくつかのセキュリティ脆弱性と依存関係のアップグレードに対処し、安定性とセキュリティを強化したメンテナンスリリースです。
セキュリティアップデート
Nomadのサービス拒否 (DOS) 脆弱性 (CVE-2025-8959)
PMMにはNomadが含まれていますが、これは現在、Go cryptoライブラリに起因する重大度の高いDoS脆弱性の影響を受けています。
Nomadはデフォルトで無効になっているため、一般的なPMM導入ではリスクは最小限です。露出を防ぐためにNomadを無効にしておくことを強くお勧めします。
我々はNomadをバージョン 1.10.5にアップグレードし、アップストリームプロジェクトの監視を継続しています。完全にパッチされたバージョンが利用可能になり次第、今後のPMMリリースに修正を組み込む予定です。
修正:GrafanaプラグインのDoS脆弱性(CVE-2023-37788)
grafana-clickhouse-datasourceプラグインがクラッシュする可能性がある、github.com/elazarl/goproxy依存関係に存在するDoS脆弱性を修正しました。
影響を受けるプラグインは、grafana-clickhouse-datasource v4.10.2でパッチ適用済みのgoproxyライブラリ(バージョン1.2.0以降)を含むように更新されました。
一貫性を保つために、grafana-polystat-panelもv2.1.15にアップグレードし、PMMで使用されなくなった非推奨のjdbranham-diagram-panelプラグインを削除しました。
修正:Percona Toolkit (Logrus)におけるDoS
github.com/sirupsen/logrus依存関係における重大度の高いDoS脆弱性を解決するために、Percona Toolkitをv3.7.0-2にアップグレードしました。この不具合により、以前はPercona Toolkitコマンドがクラッシュし、PMMデータ収集が中断される可能性がありました。
誤検知されたCVE(PMMは影響を受けない)
セキュリティスキャンツールは、以下のCVEを検知する可能性があります。徹底的な調査の結果、PMM 3.4.1はこれらの脆弱性の影響を受けないことが確認されました。
OpenSSL暗号処理 (CVE-2023-5363)
PMMはこの脆弱性の影響を受けません。
PMMのOracle Linux 9 ベースオペレーティングシステムに含まれるopenssl-libsパッケージには、このOpenSSL暗号処理の問題に対する必要なセキュリティ修正がすでに含まれています。これは、Oracleの公式セキュリティアドバイザリ ELSA-2024-0627で確認できます。
Python Setuptoolsにおけるリモートコード実行 (CVE-2024-6345)
PMMはこの脆弱性の影響を受けません。
PMMイメージのベース OSであるOracle Linux 9には、python3-setuptools バージョン53.0.0-13.el9_6.1が付属しており、この脆弱性を解決する修正がすでに含まれています。これは、Oracleのセキュリティアドバイザリ ELSA-2024-5534で確認できます。
古いGoランタイムに関連するClickHouseの脆弱性 (CVE-2024-24790)
PMMはこの脆弱性の影響を受けません。
この脆弱性は、PMMがパフォーマンスメトリックの保存に使用するデータベースエンジンであるClickHouse バージョン23.8.2.7で発見されました。この脆弱性は、ClickHouseコンポーネントのコンパイルに使用されていた旧バージョンのGo (1.19.10)に起因しています。
この脆弱性は、PMMが運用で使用しない診断ツールであるclickhouse-diagnosticsユーティリティに特に影響を及ぼします。潜在的なリスクを完全に排除するために、PMM 3.4.1からclickhouse-diagnosticsパッケージを完全に削除しました。
PMM 3.5.0のClickHouseバージョンアップグレードを計画しています。これには更新されたGoランタイムが含まれ、さらなるパフォーマンスの向上とセキュリティの強化がもたらされます。
許容されるリスク:OpenSSLバッファオーバーフロー脆弱性(CVE-2022-3786 および CVE-2022-3602)
これらの脆弱性は、PMMのOracle Linux 9ベースイメージに付属するopenssl-libsパッケージに影響します。
Oracleはこれらの脆弱性に対するパッチをリリースしていますが、これらのパッチはOracleのライブパッチサービスであるKspliceを通じてのみ配布され、Premier Supportの顧客のみが利用できます。
PMMは公開されているリポジトリのみを使用するため、これらのKsplice専用の更新を現在のリリースに含めることはできません。
PMMは通常、管理された環境に導入されるため、このリスクは低いと評価しています。OracleがOracle Linux向けのアップデートを公開次第、適用します。
Percona Monitoring and Management (PMM) 3.4.1 リリース情報(Percona社ウェブサイト):
https://docs.percona.com/percona-monitoring-and-management/3/release-notes/3.4.1.html
Perconaサポート・コンサルティング
Perconaサポート・コンサルティングサービスはPercona Serverをご利用頂いているお客様が安心してお使い頂くために専門的なサポートを提供するサービスです。