Oracle Linux 7:spacewalk-backend/spacewalk-proxy (ELSA-2022-10024)

medium Nessus 插件 ID 168407

简介

远程 Oracle Linux 主机缺少安全更新。

描述

远程 Oracle Linux 7 主机上安装的多个程序包受到 ELSA-2022-10024 公告中提及的一个漏洞影响。

- SUSE Linux Enterprise Module for SUSE Manager Server 4.2、 SUSE Linux Enterprise Module for SUSE Manager Server 4.3、 SUSE Manager Server 4.2 的 spacewalk/Uyuni 中对受限目录的路径名称的不当限制(“路径遍历”)漏洞允许远程攻击者读取运行进程的用户可用的文件,通常是 tomcat。此问题影响以下版本:SUSE Linux Enterprise Module for SUSE Manager Server 4.2 hub-xmlrpc-api-0.7-150300.3.9.2、inter-server-sync-0.2.4-150300.8.25.2、locale-formula-0.3-150300.3.3.2、py27-compat-0.2.4-150300.8.25.2 salt-3000.3-150300.7.7.26.2、python-urlgrabber-3.10.2.1py2_3-150300.3.3.2、spacecmd-4.2.20-150300.4.30.2、spacewalk-backend-4.2.25.14s32-150s3-1503004 -4.2.21-150300.4.27.3、spacewalk-java-4.2.43-150300.3.48.2、spacewalk-utils-4.2.18-150300.3.21.2、spacewalk-web-4.2.30-150300.3.34s2.2manage.3 -150300.3.44.3、susemanager-doc-indexes-4.2-150300.12.36.3、susemanager-docs_en-4.2-150300.12.36.2 、susemanager-schema-4.2.25-150300.3.30.3、低于 4.2.28 的 susemanager。SUSE Linux Enterprise Module for SUSE Manager Server 4.3spacewalk -java 4.3.39 之前的版本 。
SUSE Manager Server 4.2 release-notes-susemanager 低于 4.2.10 的版本。 (CVE-2022-43753)

请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的程序包。

另见

https://linux.oracle.com/errata/ELSA-2022-10024.html

插件详情

严重性: Medium

ID: 168407

文件名: oraclelinux_ELSA-2022-10024.nasl

版本: 1.5

类型: local

代理: unix

发布时间: 2022/12/5

最近更新时间: 2024/10/23

支持的传感器: Frictionless Assessment Agent, Nessus Agent, Nessus

风险信息

VPR

风险因素: Low

分数: 2.2

CVSS v2

风险因素: Medium

基本分数: 4

时间分数: 3.1

矢量: CVSS2#AV:N/AC:L/Au:S/C:P/I:N/A:N

CVSS 分数来源: CVE-2022-43753

CVSS v3

风险因素: Medium

基本分数: 4.3

时间分数: 3.9

矢量: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:oracle:linux:spacewalk-java-oracle, p-cpe:/a:oracle:linux:spacewalk-backend-iss-export, p-cpe:/a:oracle:linux:spacewalk-java-postgresql, p-cpe:/a:oracle:linux:spacewalk-backend-config-files-tool, p-cpe:/a:oracle:linux:spacewalk-backend-cdn, p-cpe:/a:oracle:linux:spacewalk-java-tests, p-cpe:/a:oracle:linux:spacewalk-backend-package-push-server, p-cpe:/a:oracle:linux:spacewalk-backend-xml-export-libs, p-cpe:/a:oracle:linux:spacewalk-backend-applet, p-cpe:/a:oracle:linux:spacewalk-backend-sql-oracle, p-cpe:/a:oracle:linux:spacewalk-backend-libs, p-cpe:/a:oracle:linux:spacewalk-java-config, p-cpe:/a:oracle:linux:spacewalk-backend-tools, p-cpe:/a:oracle:linux:spacewalk-backend-config-files-common, p-cpe:/a:oracle:linux:spacewalk-backend, p-cpe:/a:oracle:linux:spacewalk-backend-config-files, p-cpe:/a:oracle:linux:spacewalk-backend-xmlrpc, p-cpe:/a:oracle:linux:spacewalk-backend-iss, p-cpe:/a:oracle:linux:spacewalk-java-lib, p-cpe:/a:oracle:linux:spacewalk-taskomatic, p-cpe:/a:oracle:linux:spacewalk-java, p-cpe:/a:oracle:linux:spacewalk-backend-app, p-cpe:/a:oracle:linux:spacewalk-backend-server, cpe:/o:oracle:linux:7, p-cpe:/a:oracle:linux:spacewalk-backend-sql-postgresql, p-cpe:/a:oracle:linux:spacewalk-backend-sql

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/OracleLinux

可利用: true

易利用性: Exploits are available

补丁发布日期: 2022/12/5

漏洞发布日期: 2022/11/10

参考资料信息

CVE: CVE-2022-43753