Rocky Linux 8Satellite 6.13 版本重要 (RLSA-2023:2097)
critical Nessus 插件 ID 175139
语言:
简介
远程 Rocky Linux 主机缺少一个或多个安全更新。描述
远程 Rocky Linux 8 主机上存在安装的程序包该程序包受到公告 RLSA-2023:2097 中提及的多个漏洞的影响。- SnakeYaml 的 Constructor() 类不限制反序列化期间可实例化的类型。
反序列化攻击者提供的 yaml 内容可导致远程代码执行。我们建议在解析不受信任的内容时使用 SnakeYaml 的 SafeConsturctor 以限制反序列化。我们建议升级到 2.0 或更高版本。(CVE-2022-1471)
- Action Pack >= 5.2.0 和 < 5.2.0 中存在 XSS 漏洞,此漏洞允许攻击者绕过针对非 HTML 类响应的 CSP。(CVE-2022-22577)
- Loofah 是用于操纵和转换 HTML/XML 文档和片段的通用库,以 Nokogiri 为基础而构建。Loofah < 2.19.1 中包含一个低效正则表达式,其在尝试审查某些 SVG 属性时容易受到过度回溯的影响。这可能会因 CPU 资源消耗而导致拒绝服务。已在版本 2.19.1 中修补此问题。(CVE-2022-23514)
- Loofah 是用于操纵和转换 HTML/XML 文档和片段的通用库,以 Nokogiri 为基础而构建。Loofah >= 2.1.0, < 2.19.1 容易通过数据 URI 中的 image/svg+xml 媒体类型受到跨站脚本攻击。已在版本 2.19.1 中修补此问题。(CVE-2022-23515)
- Loofah 是用于操纵和转换 HTML/XML 文档和片段的通用库,以 Nokogiri 为基础而构建。Loofah >= 2.2.0, < 2.19.1 使用递归来审查 CDATA 部分,从而使其容易受到堆栈耗尽的影响并引发 SystemStackError 异常。这可能会因 CPU 资源消耗而导致拒绝服务。已在版本 2.19.1 中修补此问题。无法升级的用户可以通过限制已审查字符串的长度来缓解此漏洞的影响。(CVE-2022-23516)
-rails-html-sanitizer 负责审查 Rails 应用程序中的 HTML 片段。rails-html-sanitizer < 1.4.4 的某些配置中会使用低效正则表达式,其在尝试审查某些 SVG 属性时容易受到过度回溯的影响。这可能会因 CPU 资源消耗而导致拒绝服务。已在版本 1.4.4 中修补此问题。(CVE-2022-23517)
-rails-html-sanitizer 负责审查 Rails 应用程序中的 HTML 片段。与 Loofah >= 2.1.0 结合使用时,版本 >= 1.0.3, < 1.4.4 容易通过数据 URI 受到跨站脚本攻击。已在版本 1.4.4 中修补此问题。(CVE-2022-23518)
-rails-html-sanitizer 负责审查 Rails 应用程序中的 HTML 片段。在低于版本 1.4.4的情况下Rails::Html::Sanitizer 的某些配置可能存在的 XSS 漏洞如果应用程序开发人员已通过下列方式之一替代审查器允许的标签同时允许数学和样式允许攻击者注入内容元素或同时允许 svg 和 style 元素。仅当允许的标签被覆盖时,代码才会受到影响。此问题已在 1.4.4 版本中修复。所有替代允许的标签以包括 math 或 svg 及样式的用户应立即升级或使用以下变通方案从被替代的允许标签中删除样式或者从被替代的允许标签中删除 math 和 svg。 (CVE-2022-23519)
-rails-html-sanitizer 负责审查 Rails 应用程序中的 HTML 片段。在低于版本 1.4.4的版本中Rails::Html::Sanitizer 的某些配置有一个可能的 XSS 漏洞这是因为 CVE-2022-32209的修复不完整所致。如果应用程序开发人员已替代审查器允许的标签以同时允许 select 和 style 元素Rails::Html::Sanitizer 允许攻击者注入内容。仅当允许的标签被覆盖时,代码才会受到影响。已在版本 1.4.4 中修补此问题。所有替代允许的标签以包括 select 和 style 的用户应升级或使用此变通方案从替代的允许标签中删除 select 或 style。注意:代码为
若使用 Action View 帮助程序方法审查的 :tags 选项或实例方法 SafeListSanitizer#sanitize 的 :tags 选项替代允许的标签则不会受到影响。 (CVE-2022-23520)
- 由于缺少集合嵌套深度限制从 0 开始且低于 1.31 的程序包 org.yaml:snkeyaml 容易受到拒绝服务 (DoS) 影响。 (CVE-2022-25857)
- Action View 标签帮助程序 >= 5.2.0 和 < 5.2.0 中存在 XSS 漏洞,如果攻击者能够控制对特定属性的输入,则可利用此漏洞注入内容。(CVE-2022-27777)
- TZInfo 是一个 Ruby 库,可提供对时区数据的访问权限,并允许使用时区规则转换时间。0.36.1 之前的版本以及 1.2.10 之前的版本与 Ruby 数据源 tzinfo-data 一起使用时,容易受到相对路径遍历的影响。有 Ruby 数据源时,时区在 Ruby 文件中定义。每个时区有一个文件。时区文件按需加载“require”。在受影响的版本中“TZInfo::Timezone.get”无法正确验证时区标识符从而允许标识符中存在新行字符。通过 Ruby 版本 1.9.3 及更高版本“TZInfo::Timezone.get”可通过“require”加载非预期文件从而在 Ruby 进程内执行这些文件。0.3.61 和 1.2.10 版包含可正确验证时区标识符的补丁。版本 2.0.0 和后续版本均不容易受到影响。如果文件名遵循有效时区标识符的规则,并且任意文件在加载路径的某个目录中具有“tzinfo/definition”前缀,则版本 0.3.61 仍可从 Ruby 加载路径加载这些文件。应用程序应确保未将不受信任的文件放置在加载路径上的目录中。变通方案可以通过确保其匹配正则表达式“\A[A-Za-z0-9+\-_]+(?:\ /[A-Za-z0-9+\-_]+)*\z`. (CVE-2022-31163)
- 当在 Active Record < 7.0.3.1、 <6.1.6.1、 <6.0.5.1 和 <5.2.8.1 中使用 YAML 序列化列时存在可能升级到 RCE 漏洞这可允许攻击者操纵数据库中的数据通过 SQL 注入等方式、升级到 RCE 的能力。 (CVE-2022-32224)
- Apache Commons Configuration 执行变量插值,允许动态评估和扩展属性。插值的标准格式为 ${prefix:name}其中前缀用于查找执行插值的 org.apache.commons.configuration2.interpol.Lookup 实例。从版本 2.4 到版本 2.7,默认查找实例集包含可导致任意代码执行或与远程服务器联系的插值器。这些查找为- 脚本 - 使用 JVM 脚本执行引擎 (javax.script) 的执行表达式 - dns
- 解析 dns 记录 - url - 从 url 加载值,包括从远程服务器加载值。如果使用了不受信任的配置值,使用受影响版本中的插值默认值的应用程序可能容易受到远程代码执行或无意联系的影响。建议用户升级到 Apache Commons Configuration 2.8.0 版本,其默认禁用有问题的插值器。(CVE-2022-33980)
- 使用 snakeYAML 解析不受信任的 YAML 文件可能受到拒绝服务攻击 (DOS)。如果对用户提供的输入运行解析器,攻击者可能会提供通过堆栈溢位造成解析器崩溃的内容。(CVE-2022-38749、CVE-2022-38750、CVE-2022-38751)
- 使用 snakeYAML 解析不受信任的 YAML 文件可能受到拒绝服务攻击 (DOS)。如果对用户提供的输入运行解析器,攻击者可能会提供通过堆栈溢位造成解析器崩溃的内容。(CVE-2022-38752)
- 在 Django 3.2 的 3.2.16 之前版本、4.0 的 4.0.8 之前版本以及 4.1 的 4.1.2之前版本中,国际化的 URL 会受到可能通过被视为正则表达式的 locale 参数发动的拒绝服务攻击。(CVE-2022-41323)
- pgjdbc 是开源 postgresql JDBC 驱动程序。在受影响的版本中,如果 InputStream 大于 2k,使用“PreparedStatement.setText(int, InputStream)”或“PreparedStatemet.setBytea(int, InputStream)”的预处理语句将创建一个临时文件。Unix 之类系统上的其他用户可读取该临时文件,而 MacOS 上的用户不能读取。在类似 Unix 的系统上,系统的临时目录由该系统上的所有用户共享。因此,文件和目录在写入此目录时,默认可以由同一系统上的其他用户读取。此漏洞会阻止其他用户覆盖这些目录或文件的内容。这纯粹是信息泄露漏洞。由于仅在 JDK 1.7 中添加了某些 JDK 文件系统 API,因此,此修复程序取决于您使用的 JDK 版本。Java 1.7 和更高版本用户:此漏洞在 4.5.0 中已修复。Java 1.6 和更低版本用户:无可用的修补程序。如果您无法安装补丁,或在 Java 1.6 上运行时卡滞,为执行用户的专有目录指定“java.io.tmpdir”系统环境变量将可修复此漏洞。
(CVE-2022-41946)
- 在 2.14.0-rc1 之前的 FasterXML jackson-databind 中,当启用 UNWRAP_SINGLE_VALUE_ARRAYS 功能时,由于缺少用以避免深层封装程序数组嵌套的对原始值反序列化程序的检查,可能会发生资源耗尽。2.13.4.1 和 2.12.17.1 中的其他补丁版本 (CVE-2022-42003)
- 在 2.13.4之前的 FasterXML jackson-databind 中,由于在 BeanDeserializer._deserializeFromArray 中缺少用以防止使用深层嵌套数组的检查,可能会发生资源耗尽。应用程序仅在使用某些自定义反序列化选项时才会受到攻击。(CVE-2022-42004)
- Apache Commons Text 执行变量插值,允许动态评估和扩展属性。插值的标准格式为 ${prefix:name},其中 prefix 用于定位执行插值的 org.apache.commons.text.lookup.StringLookup 的实例。从版本 1.5 到版本 1.9,默认查找实例集包含可导致任意代码执行或与远程服务器联系的插值器。这些查找是:- script - 使用 JVM 脚本执行引擎 (javax.script) 执行表达式 - dns- 解析 DNS 记录 - url - 从 url 加载值,包括从远程服务器加载值。如果使用了不受信任的配置值,使用受影响版本中的插值默认值的应用程序可能容易受到远程代码执行或无意联系的影响。建议用户升级到 Apache Commons Text 1.10.0 版本,其默认禁用有问题的插值器。(CVE-2022-42889)
- 在 3.2 至 3.2.17、4.0 至 4.0.9 和 4.1 至 4.1.6 版的 Django 中,Accept-Language 标头的解析值会被缓存以避免重复解析。如果 Accept-Language 标头的原始值非常大,则可能会通过过量使用内存导致拒绝服务矢量。
(CVE-2023-23969)
- 在低于 3.2.18 的 3.2、低于 4.0.10 的 4.0 以及低于 4.1.7 的 4.1 版 Django 中,在多部分申请解析器中发现一个问题。将某些输入(例如,过多的部分)传递到多部分表单可导致过多打开的文件或内存耗尽,并可能为拒绝服务攻击提供载体。(CVE-2023-24580)
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
更新受影响的程序包。另见
https://errata.rockylinux.org/RLSA-2023:2097
https://bugzilla.redhat.com/show_bug.cgi?id=1225819
https://bugzilla.redhat.com/show_bug.cgi?id=1266407
https://bugzilla.redhat.com/show_bug.cgi?id=1630294
https://bugzilla.redhat.com/show_bug.cgi?id=1638226
https://bugzilla.redhat.com/show_bug.cgi?id=1650468
https://bugzilla.redhat.com/show_bug.cgi?id=1761012
https://bugzilla.redhat.com/show_bug.cgi?id=1786358
https://bugzilla.redhat.com/show_bug.cgi?id=1787456
https://bugzilla.redhat.com/show_bug.cgi?id=1813274
https://bugzilla.redhat.com/show_bug.cgi?id=1826648
https://bugzilla.redhat.com/show_bug.cgi?id=1837767
https://bugzilla.redhat.com/show_bug.cgi?id=1841534
https://bugzilla.redhat.com/show_bug.cgi?id=1845489
https://bugzilla.redhat.com/show_bug.cgi?id=1880947
https://bugzilla.redhat.com/show_bug.cgi?id=1888667
https://bugzilla.redhat.com/show_bug.cgi?id=1895976
https://bugzilla.redhat.com/show_bug.cgi?id=1920810
https://bugzilla.redhat.com/show_bug.cgi?id=1931027
https://bugzilla.redhat.com/show_bug.cgi?id=1931533
https://bugzilla.redhat.com/show_bug.cgi?id=1950468
https://bugzilla.redhat.com/show_bug.cgi?id=1952529
https://bugzilla.redhat.com/show_bug.cgi?id=1956210
https://bugzilla.redhat.com/show_bug.cgi?id=1956985
https://bugzilla.redhat.com/show_bug.cgi?id=1963266
https://bugzilla.redhat.com/show_bug.cgi?id=1964037
https://bugzilla.redhat.com/show_bug.cgi?id=1965871
https://bugzilla.redhat.com/show_bug.cgi?id=1978683
https://bugzilla.redhat.com/show_bug.cgi?id=1978995
https://bugzilla.redhat.com/show_bug.cgi?id=1990790
https://bugzilla.redhat.com/show_bug.cgi?id=1990875
https://bugzilla.redhat.com/show_bug.cgi?id=1995097
https://bugzilla.redhat.com/show_bug.cgi?id=1995470
https://bugzilla.redhat.com/show_bug.cgi?id=1997186
https://bugzilla.redhat.com/show_bug.cgi?id=1997199
https://bugzilla.redhat.com/show_bug.cgi?id=2026151
https://bugzilla.redhat.com/show_bug.cgi?id=2029402
https://bugzilla.redhat.com/show_bug.cgi?id=2032040
https://bugzilla.redhat.com/show_bug.cgi?id=2043600
https://bugzilla.redhat.com/show_bug.cgi?id=2050234
https://bugzilla.redhat.com/show_bug.cgi?id=2052904
https://bugzilla.redhat.com/show_bug.cgi?id=2056402
https://bugzilla.redhat.com/show_bug.cgi?id=2057314
https://bugzilla.redhat.com/show_bug.cgi?id=2060099
https://bugzilla.redhat.com/show_bug.cgi?id=2062526
https://bugzilla.redhat.com/show_bug.cgi?id=2063999
https://bugzilla.redhat.com/show_bug.cgi?id=2066323
https://bugzilla.redhat.com/show_bug.cgi?id=2069438
https://bugzilla.redhat.com/show_bug.cgi?id=2073847
https://bugzilla.redhat.com/show_bug.cgi?id=2077363
https://bugzilla.redhat.com/show_bug.cgi?id=2080296
https://bugzilla.redhat.com/show_bug.cgi?id=2080302
https://bugzilla.redhat.com/show_bug.cgi?id=2088156
https://bugzilla.redhat.com/show_bug.cgi?id=2088529
https://bugzilla.redhat.com/show_bug.cgi?id=2094912
https://bugzilla.redhat.com/show_bug.cgi?id=2098079
https://bugzilla.redhat.com/show_bug.cgi?id=2101708
https://bugzilla.redhat.com/show_bug.cgi?id=2102078
https://bugzilla.redhat.com/show_bug.cgi?id=2103936
https://bugzilla.redhat.com/show_bug.cgi?id=2104247
https://bugzilla.redhat.com/show_bug.cgi?id=2105067
https://bugzilla.redhat.com/show_bug.cgi?id=2105441
https://bugzilla.redhat.com/show_bug.cgi?id=2106475
https://bugzilla.redhat.com/show_bug.cgi?id=2106753
https://bugzilla.redhat.com/show_bug.cgi?id=2107011
https://bugzilla.redhat.com/show_bug.cgi?id=2107758
https://bugzilla.redhat.com/show_bug.cgi?id=2108997
https://bugzilla.redhat.com/show_bug.cgi?id=2109634
https://bugzilla.redhat.com/show_bug.cgi?id=2110551
https://bugzilla.redhat.com/show_bug.cgi?id=2111159
https://bugzilla.redhat.com/show_bug.cgi?id=2115970
https://bugzilla.redhat.com/show_bug.cgi?id=2116375
https://bugzilla.redhat.com/show_bug.cgi?id=2118651
https://bugzilla.redhat.com/show_bug.cgi?id=2119053
https://bugzilla.redhat.com/show_bug.cgi?id=2119155
https://bugzilla.redhat.com/show_bug.cgi?id=2119911
https://bugzilla.redhat.com/show_bug.cgi?id=2120640
https://bugzilla.redhat.com/show_bug.cgi?id=2121210
https://bugzilla.redhat.com/show_bug.cgi?id=2121288
https://bugzilla.redhat.com/show_bug.cgi?id=2122617
https://bugzilla.redhat.com/show_bug.cgi?id=2123593
https://bugzilla.redhat.com/show_bug.cgi?id=2123696
https://bugzilla.redhat.com/show_bug.cgi?id=2123835
https://bugzilla.redhat.com/show_bug.cgi?id=2123932
https://bugzilla.redhat.com/show_bug.cgi?id=2124419
https://bugzilla.redhat.com/show_bug.cgi?id=2124520
https://bugzilla.redhat.com/show_bug.cgi?id=2125424
https://bugzilla.redhat.com/show_bug.cgi?id=2125444
https://bugzilla.redhat.com/show_bug.cgi?id=2126200
https://bugzilla.redhat.com/show_bug.cgi?id=2126349
https://bugzilla.redhat.com/show_bug.cgi?id=2126372
https://bugzilla.redhat.com/show_bug.cgi?id=2126695
https://bugzilla.redhat.com/show_bug.cgi?id=2126789
https://bugzilla.redhat.com/show_bug.cgi?id=2126905
https://bugzilla.redhat.com/show_bug.cgi?id=2127180
https://bugzilla.redhat.com/show_bug.cgi?id=2127470
https://bugzilla.redhat.com/show_bug.cgi?id=2127998
https://bugzilla.redhat.com/show_bug.cgi?id=2128038
https://bugzilla.redhat.com/show_bug.cgi?id=2128256
https://bugzilla.redhat.com/show_bug.cgi?id=2128864
https://bugzilla.redhat.com/show_bug.cgi?id=2128894
https://bugzilla.redhat.com/show_bug.cgi?id=2129706
https://bugzilla.redhat.com/show_bug.cgi?id=2129707
https://bugzilla.redhat.com/show_bug.cgi?id=2129709
https://bugzilla.redhat.com/show_bug.cgi?id=2129710
https://bugzilla.redhat.com/show_bug.cgi?id=2129950
https://bugzilla.redhat.com/show_bug.cgi?id=2130596
https://bugzilla.redhat.com/show_bug.cgi?id=2130698
https://bugzilla.redhat.com/show_bug.cgi?id=2131312
https://bugzilla.redhat.com/show_bug.cgi?id=2131369
https://bugzilla.redhat.com/show_bug.cgi?id=2131839
https://bugzilla.redhat.com/show_bug.cgi?id=2132452
https://bugzilla.redhat.com/show_bug.cgi?id=2133343
https://bugzilla.redhat.com/show_bug.cgi?id=2133615
https://bugzilla.redhat.com/show_bug.cgi?id=2134283
https://bugzilla.redhat.com/show_bug.cgi?id=2134682
https://bugzilla.redhat.com/show_bug.cgi?id=2135244
https://bugzilla.redhat.com/show_bug.cgi?id=2135247
https://bugzilla.redhat.com/show_bug.cgi?id=2135418
https://bugzilla.redhat.com/show_bug.cgi?id=2135435
https://bugzilla.redhat.com/show_bug.cgi?id=2136130
https://bugzilla.redhat.com/show_bug.cgi?id=2137318
https://bugzilla.redhat.com/show_bug.cgi?id=2137350
https://bugzilla.redhat.com/show_bug.cgi?id=2137539
https://bugzilla.redhat.com/show_bug.cgi?id=2138887
https://bugzilla.redhat.com/show_bug.cgi?id=2139209
https://bugzilla.redhat.com/show_bug.cgi?id=2139418
https://bugzilla.redhat.com/show_bug.cgi?id=2139441
https://bugzilla.redhat.com/show_bug.cgi?id=2139545
https://bugzilla.redhat.com/show_bug.cgi?id=2140628
https://bugzilla.redhat.com/show_bug.cgi?id=2140807
https://bugzilla.redhat.com/show_bug.cgi?id=2141136
https://bugzilla.redhat.com/show_bug.cgi?id=2141187
https://bugzilla.redhat.com/show_bug.cgi?id=2141455
https://bugzilla.redhat.com/show_bug.cgi?id=2141719
https://bugzilla.redhat.com/show_bug.cgi?id=2141810
https://bugzilla.redhat.com/show_bug.cgi?id=2142514
https://bugzilla.redhat.com/show_bug.cgi?id=2142555
https://bugzilla.redhat.com/show_bug.cgi?id=2143451
https://bugzilla.redhat.com/show_bug.cgi?id=2143497
https://bugzilla.redhat.com/show_bug.cgi?id=2143515
https://bugzilla.redhat.com/show_bug.cgi?id=2143695
https://bugzilla.redhat.com/show_bug.cgi?id=2144044
https://bugzilla.redhat.com/show_bug.cgi?id=2147579
https://bugzilla.redhat.com/show_bug.cgi?id=2148433
https://bugzilla.redhat.com/show_bug.cgi?id=2148813
https://bugzilla.redhat.com/show_bug.cgi?id=2149030
https://bugzilla.redhat.com/show_bug.cgi?id=2149543
https://bugzilla.redhat.com/show_bug.cgi?id=2149730
https://bugzilla.redhat.com/show_bug.cgi?id=2149893
https://bugzilla.redhat.com/show_bug.cgi?id=2149896
https://bugzilla.redhat.com/show_bug.cgi?id=2149990
https://bugzilla.redhat.com/show_bug.cgi?id=2150009
https://bugzilla.redhat.com/show_bug.cgi?id=2150261
https://bugzilla.redhat.com/show_bug.cgi?id=2150311
https://bugzilla.redhat.com/show_bug.cgi?id=2150380
https://bugzilla.redhat.com/show_bug.cgi?id=2151333
https://bugzilla.redhat.com/show_bug.cgi?id=2151487
https://bugzilla.redhat.com/show_bug.cgi?id=2151564
https://bugzilla.redhat.com/show_bug.cgi?id=2151827
https://bugzilla.redhat.com/show_bug.cgi?id=2151838
https://bugzilla.redhat.com/show_bug.cgi?id=2151856
https://bugzilla.redhat.com/show_bug.cgi?id=2151935
https://bugzilla.redhat.com/show_bug.cgi?id=2152609
https://bugzilla.redhat.com/show_bug.cgi?id=2153234
https://bugzilla.redhat.com/show_bug.cgi?id=2153241
https://bugzilla.redhat.com/show_bug.cgi?id=2153262
https://bugzilla.redhat.com/show_bug.cgi?id=2153273
https://bugzilla.redhat.com/show_bug.cgi?id=2153399
https://bugzilla.redhat.com/show_bug.cgi?id=2153423
https://bugzilla.redhat.com/show_bug.cgi?id=2153701
https://bugzilla.redhat.com/show_bug.cgi?id=2153720
https://bugzilla.redhat.com/show_bug.cgi?id=2153744
https://bugzilla.redhat.com/show_bug.cgi?id=2153751
https://bugzilla.redhat.com/show_bug.cgi?id=2154184
https://bugzilla.redhat.com/show_bug.cgi?id=2154397
https://bugzilla.redhat.com/show_bug.cgi?id=2154512
https://bugzilla.redhat.com/show_bug.cgi?id=2154734
https://bugzilla.redhat.com/show_bug.cgi?id=2155221
https://bugzilla.redhat.com/show_bug.cgi?id=2155392
https://bugzilla.redhat.com/show_bug.cgi?id=2155527
https://bugzilla.redhat.com/show_bug.cgi?id=2155911
https://bugzilla.redhat.com/show_bug.cgi?id=2156294
https://bugzilla.redhat.com/show_bug.cgi?id=2156295
https://bugzilla.redhat.com/show_bug.cgi?id=2156941
https://bugzilla.redhat.com/show_bug.cgi?id=2157627
https://bugzilla.redhat.com/show_bug.cgi?id=2157869
https://bugzilla.redhat.com/show_bug.cgi?id=2158508
https://bugzilla.redhat.com/show_bug.cgi?id=2158519
https://bugzilla.redhat.com/show_bug.cgi?id=2158565
https://bugzilla.redhat.com/show_bug.cgi?id=2158614
https://bugzilla.redhat.com/show_bug.cgi?id=2158738
https://bugzilla.redhat.com/show_bug.cgi?id=2159776
https://bugzilla.redhat.com/show_bug.cgi?id=2159963
https://bugzilla.redhat.com/show_bug.cgi?id=2159967
https://bugzilla.redhat.com/show_bug.cgi?id=2159974
https://bugzilla.redhat.com/show_bug.cgi?id=2160008
https://bugzilla.redhat.com/show_bug.cgi?id=2160056
https://bugzilla.redhat.com/show_bug.cgi?id=2160112
https://bugzilla.redhat.com/show_bug.cgi?id=2160264
https://bugzilla.redhat.com/show_bug.cgi?id=2160297
https://bugzilla.redhat.com/show_bug.cgi?id=2160497
https://bugzilla.redhat.com/show_bug.cgi?id=2160508
https://bugzilla.redhat.com/show_bug.cgi?id=2160524
https://bugzilla.redhat.com/show_bug.cgi?id=2160528
https://bugzilla.redhat.com/show_bug.cgi?id=2160705
https://bugzilla.redhat.com/show_bug.cgi?id=2160752
https://bugzilla.redhat.com/show_bug.cgi?id=2161304
https://bugzilla.redhat.com/show_bug.cgi?id=2161776
https://bugzilla.redhat.com/show_bug.cgi?id=2162129
https://bugzilla.redhat.com/show_bug.cgi?id=2162130
https://bugzilla.redhat.com/show_bug.cgi?id=2162678
https://bugzilla.redhat.com/show_bug.cgi?id=2162736
https://bugzilla.redhat.com/show_bug.cgi?id=2163425
https://bugzilla.redhat.com/show_bug.cgi?id=2163456
https://bugzilla.redhat.com/show_bug.cgi?id=2163457
https://bugzilla.redhat.com/show_bug.cgi?id=2163577
https://bugzilla.redhat.com/show_bug.cgi?id=2163582
https://bugzilla.redhat.com/show_bug.cgi?id=2163788
https://bugzilla.redhat.com/show_bug.cgi?id=2164026
https://bugzilla.redhat.com/show_bug.cgi?id=2164080
https://bugzilla.redhat.com/show_bug.cgi?id=2164330
https://bugzilla.redhat.com/show_bug.cgi?id=2164413
https://bugzilla.redhat.com/show_bug.cgi?id=2164757
https://bugzilla.redhat.com/show_bug.cgi?id=2164989
https://bugzilla.redhat.com/show_bug.cgi?id=2165482
https://bugzilla.redhat.com/show_bug.cgi?id=2165848
https://bugzilla.redhat.com/show_bug.cgi?id=2165952
https://bugzilla.redhat.com/show_bug.cgi?id=2166244
https://bugzilla.redhat.com/show_bug.cgi?id=2166293
https://bugzilla.redhat.com/show_bug.cgi?id=2166303
https://bugzilla.redhat.com/show_bug.cgi?id=2166374
https://bugzilla.redhat.com/show_bug.cgi?id=2166424
https://bugzilla.redhat.com/show_bug.cgi?id=2166457
https://bugzilla.redhat.com/show_bug.cgi?id=2166964
https://bugzilla.redhat.com/show_bug.cgi?id=2166966
https://bugzilla.redhat.com/show_bug.cgi?id=2167685
https://bugzilla.redhat.com/show_bug.cgi?id=2168041
https://bugzilla.redhat.com/show_bug.cgi?id=2168096
https://bugzilla.redhat.com/show_bug.cgi?id=2168168
https://bugzilla.redhat.com/show_bug.cgi?id=2168254
https://bugzilla.redhat.com/show_bug.cgi?id=2168258
https://bugzilla.redhat.com/show_bug.cgi?id=2168330
https://bugzilla.redhat.com/show_bug.cgi?id=2168494
https://bugzilla.redhat.com/show_bug.cgi?id=2168679
https://bugzilla.redhat.com/show_bug.cgi?id=2168967
https://bugzilla.redhat.com/show_bug.cgi?id=2169299
https://bugzilla.redhat.com/show_bug.cgi?id=2169402
https://bugzilla.redhat.com/show_bug.cgi?id=2169633
https://bugzilla.redhat.com/show_bug.cgi?id=2169858
https://bugzilla.redhat.com/show_bug.cgi?id=2169866
https://bugzilla.redhat.com/show_bug.cgi?id=2170034
https://bugzilla.redhat.com/show_bug.cgi?id=2171399
https://bugzilla.redhat.com/show_bug.cgi?id=2172141
https://bugzilla.redhat.com/show_bug.cgi?id=2172540
https://bugzilla.redhat.com/show_bug.cgi?id=2172939
https://bugzilla.redhat.com/show_bug.cgi?id=2173570
https://bugzilla.redhat.com/show_bug.cgi?id=2173756
https://bugzilla.redhat.com/show_bug.cgi?id=2174734
https://bugzilla.redhat.com/show_bug.cgi?id=2174910
https://bugzilla.redhat.com/show_bug.cgi?id=2175226
插件详情
严重性: Critical
ID: 175139
文件名: rocky_linux_RLSA-2023-2097.nasl
版本: 1.2
类型: local
发布时间: 2023/5/5
最近更新时间: 2024/1/22
支持的传感器: Nessus Agent, Continuous Assessment, Nessus
风险信息
VPR
风险因素: High
分数: 8.4
CVSS v2
风险因素: High
基本分数: 7.5
时间分数: 6.2
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS 分数来源: CVE-2022-33980
CVSS v3
风险因素: Critical
基本分数: 9.8
时间分数: 9.1
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:F/RL:O/RC:C
CVSS 分数来源: CVE-2022-42889
漏洞信息
CPE: p-cpe:/a:rocky:linux:libdb-cxx-debuginfo, p-cpe:/a:rocky:linux:libdb-utils-debuginfo, p-cpe:/a:rocky:linux:libdb-debugsource, p-cpe:/a:rocky:linux:libdb-debuginfo, p-cpe:/a:rocky:linux:libdb-cxx, p-cpe:/a:rocky:linux:libdb-sql-devel-debuginfo, cpe:/o:rocky:linux:8, p-cpe:/a:rocky:linux:libdb-sql-debuginfo
必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/RockyLinux/release, Host/RockyLinux/rpm-list
可利用: true
易利用性: Exploits are available
补丁发布日期: 2023/5/5
漏洞发布日期: 2022/4/30
可利用的方式
Metasploit (Apache Commons Text RCE)
参考资料信息
CVE: CVE-2022-1471, CVE-2022-22577, CVE-2022-23514, CVE-2022-23515, CVE-2022-23516, CVE-2022-23517, CVE-2022-23518, CVE-2022-23519, CVE-2022-23520, CVE-2022-25857, CVE-2022-27777, CVE-2022-31163, CVE-2022-32224, CVE-2022-33980, CVE-2022-38749, CVE-2022-38750, CVE-2022-38751, CVE-2022-38752, CVE-2022-41323, CVE-2022-41946, CVE-2022-42003, CVE-2022-42004, CVE-2022-42889, CVE-2023-23969, CVE-2023-24580