检测

Oracle Linux 8:ol8addon (ELSA-2022-24267)

high Nessus 插件 ID 168151

语言:

简介

远程 Oracle Linux 主机缺少一个或多个安全更新。

描述

远程 Oracle Linux 8 主机上安装的多个程序包受到 ELSA-2022-24267 公告中提及的多个漏洞影响。

 - Go 1.17.12 和 Go 1.18.4 之前版本中,go/parser 函数中不受控制的递归允许攻击者通过深度嵌套的类型或声明造成堆栈耗尽。(CVE-2022-1962)

 - ReverseProxy 转发的请求包括入站请求的原始查询参数,包括 net/http 拒绝的无法解析的参数。当 Go 代理转发具有不可解析值的参数时,这可能允许查询参数走私。修复后,在 ReverseProxy 之后设置出站请求的表单字段时,ReverseProxy 会审查转发的查询中的查询参数。Director 函数返回即表示代理已解析查询参数。不解析查询参数的代理继续转发不变的原始查询参数。(CVE-2022-2880)

 - Reader.Read 未对文件标头的最大大小设置限制。恶意构建的存档可导致 Read 分配不受限制的内存量,从而可能导致资源耗尽或错误。
 修复后,Reader.Read 将标头块的最大大小限制为 1 MiB。(CVE-2022-2879)

 - 在 1.17.12 之前的 Go 和 1.18.x 之前的 1.18.4中,encoding/xml 的 Decoder.Skip 中通过深度嵌套的 XML 文档可发生堆栈耗尽和错误。(CVE-2022-28131)

 - 从不受信任的来源编译正则表达式的程序容易受到内存耗尽或拒绝服务的影响。解析后的 regexp 表示与输入的大小成线性关系,但在某些情况下,常数因子可高达 40,000,使得相对较小的 regexp 消耗大量内存。修复后,每个被解析的 regexp 被限制为 256 MB 内存占用。正则表达式的表示会使用比拒绝的表达式更多的空间。正则表达式的正常使用不受影响。 (CVE-2022-41715)

 - Go 1.17.12和 Go 1.18.4 之前的版本中,encoding/xml 中的 Unmarshal 中不受控制的递归允许攻击者通过将 XML 文档解组到具有使用“any”字段标记的嵌套字段的 Go 结构中来造成错误。(CVE-2022-30633)

 - 在 Go 1.18.6 之前版本以及 1.19.1 1.19.x 之前版本中,如果关闭操作被致命错误抢占,则 HTTP/2 连接可在关闭期间挂起,攻击者可借此通过 net/http 造成拒绝服务。(CVE-2022-27664)

 - 在 Go 1.17.12 和 Go 1.18.4 之前的 net/http 客户端中接受某些无效的 Transfer-Encoding 标头后,如果与同样未能将标头正确拒绝为无效的中间服务器结合,则允许 HTTP 请求走私。(CVE-2022-1705)

 - Go 1.17.12 和 Go 1.18.4 之前版本中,compress/gzip 中的 Reader.Read 中不受控制的递归允许攻击者通过包含大量连接的 0 长度压缩文件的存档,由于堆栈耗尽而造成错误。(CVE-2022-30631)

 - Go 1.17.12 和 Go 1.18.4 之前的版本中,net/http 中不当暴露客户端 IP 地址可通过使用包含 X-Forwarded-For 标头的 nil 值的 Request.Header 映射调用 httputil.ReverseProxy.ServeHTTP 来触发,这会造成 ReverseProxy 将客户端 IP 设置为 X-Forwarded-For 标头的值。(CVE-2022-32148)

 - JoinPath 和 URL.JoinPath 不会删除附加到相对路径的 ../ path 元素。例如,尽管 JoinPath 文档指出已从结果中删除 ../ path 元素,JoinPath(https://go.dev, ../go) 仍会返回 URL https://go.dev/../go。(CVE-2022-32190)

 - 在 1.17.13 和 1.18.5 之前的 Go 的 math/big 中,编码过短的消息可能导致 Float.GobDecode 和 Rat GobDecode 发生错误,从而可能造成拒绝服务。(CVE-2022-32189)

 - Go 1.17.12 和 Go 1.18.4 之前的 Glob 中不受控制的递归允许攻击者通过包含大量路径分隔符的路径,由于堆栈耗尽而造成错误。
 (CVE-2022-30630)

 - Go 1.17.12 和 Go 1.18.4 之前版本中,path/filepath 中的 Glob 中不受控制的递归允许攻击者通过包含大量路径分隔符的路径,由于堆栈耗尽而造成错误。
 (CVE-2022-30632)

 - 由于未审查 NUL 值,攻击者可能会在 Windows 上恶意设置环境变量。
 在 syscall.StartProcess 和 os/exec.Cmd 中,未正确检查包含 NUL 值的无效环境变量值。恶意的环境变量值可利用此行为为不同的环境变量设置值。例如,环境变量字符串 A=B\x00C=D 设置变量 A=B 和 C=D。 (CVE-2022-41716)

 - Go 1.17.12 和 Go 1.18.4 之前的版本中,encoding/gob 中的 Decoder.Decode 中不受控制的递归允许攻击者通过包含深度嵌套结构的消息,由于堆栈耗尽而造成错误。
 (CVE-2022-30635)

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的程序包。

另见

https://linux.oracle.com/errata/ELSA-2022-24267.html

插件详情

严重性: High

ID: 168151

文件名: oraclelinux_ELSA-2022-24267.nasl

版本: 1.10

类型: local

代理: unix

发布时间: 2022/11/23

最近更新时间: 2024/11/1

支持的传感器: Frictionless Assessment Agent, Nessus Agent, Continuous Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 4.4

CVSS v2

风险因素: High

基本分数: 7.8

时间分数: 6.1

矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:C/A:N

CVSS 分数来源: CVE-2022-41716

CVSS v3

风险因素: High

基本分数: 7.5

时间分数: 6.7

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:oracle:linux:golang, p-cpe:/a:oracle:linux:golang-src, cpe:/o:oracle:linux:8, p-cpe:/a:oracle:linux:golang-docs, p-cpe:/a:oracle:linux:delve, p-cpe:/a:oracle:linux:go-toolset, p-cpe:/a:oracle:linux:golang-tests, p-cpe:/a:oracle:linux:golang-race, p-cpe:/a:oracle:linux:golang-misc, p-cpe:/a:oracle:linux:golang-bin

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/OracleLinux

可利用: true

易利用性: Exploits are available

补丁发布日期: 2022/11/23

漏洞发布日期: 2022/7/13

参考资料信息

CVE: CVE-2022-1705, CVE-2022-1962, CVE-2022-27664, CVE-2022-28131, CVE-2022-2879, CVE-2022-2880, CVE-2022-30630, CVE-2022-30631, CVE-2022-30632, CVE-2022-30633, CVE-2022-30635, CVE-2022-32148, CVE-2022-32189, CVE-2022-32190, CVE-2022-41715, CVE-2022-41716

IAVB: 2022-B-0025-S, 2022-B-0042-S, 2022-B-0046-S