IBM Rational ClearCase 8.0 < 9.0.1.14 / 9.0.2 < 9.0.2.6 / 9.1 < 9.1.0.3 多种漏洞
high Nessus 插件 ID 172123
语言:
简介
远程主机上安装的 IBM Rational ClearCase 受到多个漏洞的影响。描述
远程主机上安装的 IBM Rational ClearCase 版本受到多个漏洞的影响,包括:- 当“--no-clobber”与“--remove-on-error”一起使用时,7.83.1 版中已修复的使用错误解析的名称漏洞可能会删除错误的文件。(CVE-2022-27778)
- 解码 URL 的主机名部分时,curl URL 解析器会错误接受诸如“/”的以百分号编码的 URL 分隔符,从而使其在以后检索时成为使用错误主机名的*不同* URL。例如,解析器会允许诸如“http://example.com%2F127.0.0.1/”的 URL 并将其转置为“http://example.com/127.0.0.1/”。攻击者可利用此缺陷避开筛选和检查等。
(CVE-2022-27780)
- 即便已更改 TLS 或 SSH 相关选项,libcurl 仍会重复使用以前创建的连接,而这些连接本应禁止重复使用。如果其中一个连接与设置匹配,libcurl 会将以前用过的连接保留在连接池中,以便后续传输重复使用。但是,配置匹配检查会遗漏多个 TLS 和 SSH 设置,使匹配变得过于容易。(CVE-2022-27782)
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
对于 IBM Rational ClearCase Fix Pack 14 9.0,升级至 9.0.1.14 版;对于 Fix Pack 6 9.0.2,升级至 9.0.2.6 版本;对于 Fix Pack 3 9.1,升级至 9.1.0.3 或更高版本。参见 8.0 供应商公告。另见
插件详情
严重性: High
ID: 172123
文件名: ibm_rational_clearcase_6606577.nasl
版本: 1.4
类型: local
代理: windows
系列: Windows
发布时间: 2023/3/6
最近更新时间: 2024/10/23
支持的传感器: Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 6.0
CVSS v2
风险因素: Medium
基本分数: 5.8
时间分数: 4.8
矢量: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:P
CVSS 分数来源: CVE-2022-27778
CVSS v3
风险因素: High
基本分数: 8.1
时间分数: 7.5
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H
时间矢量: CVSS:3.0/E:F/RL:O/RC:C
漏洞信息
CPE: cpe:/a:ibm:rational_clearcase
必需的 KB 项: installed_sw/IBM Rational ClearCase
可利用: true
易利用性: Exploits are available
补丁发布日期: 2022/7/25
漏洞发布日期: 2022/7/25
参考资料信息
CVE: CVE-2022-27774, CVE-2022-27778, CVE-2022-27779, CVE-2022-27780, CVE-2022-27782, CVE-2022-30115
IAVB: 2022-B-0023