Amazon Linux 2023:apache-ivy、apache-ivy-javadoc (ALAS2023-2023-336)

high Nessus 插件 ID 181136

简介

远程 Amazon Linux 2023 主机缺少安全更新。

描述

因此,该应用程序受到 ALAS2023-2023-336 公告中提及的漏洞的影响。

- Apache Software Foundation Apache Ivy 中存在不当限制 XML 外部实体引用、XML 注入(又称盲目 XPath 注入)漏洞。此问题会影响 Apache Ivy 2.5.2 之前的所有版本。Apache Ivy 2.5.2 之前的版本在解析 XML 文件时(其自身的配置、Ivy 文件或 Apache Maven POM),将允许下载外部文档类型定义,并在使用时展开其中包含的任何实体引用。攻击者可利用此漏洞泄露数据,访问仅运行 Ivy 的计算机可以访问的资源,或以不同方式干扰 Ivy 的执行。Ivy 2.5.2 及更高版本在默认情况下禁用 DTD 处理,但在解析 Maven POM 时除外,此时的默认设置为允许 DTD 处理,但仅包含随附 Ivy 的 DTD 片段,该片段可用于处理现有 Maven POM(无效的 XML 文件,但仍被 Maven 接受)。如果需要,可以通过新引入的系统属性来放宽访问权限。Ivy 2.5.2 之前版本的用户可以使用 Java 系统属性来限制外部 DTD 的处理,请参阅《Oracle Java API for XML Processing (JAXP) 安全指南》中有关外部访问的 JAXP 属性限制部分。
(CVE-2022-46751)

请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

运行“dnf update apache-ivy --releasever 2023.1.20230906”以更新系统。

另见

https://alas.aws.amazon.com/AL2023/ALAS-2023-336.html

https://alas.aws.amazon.com/cve/html/CVE-2022-46751.html

https://alas.aws.amazon.com/faqs.html

插件详情

严重性: High

ID: 181136

文件名: al2023_ALAS2023-2023-336.nasl

版本: 1.2

类型: local

代理: unix

发布时间: 2023/9/8

最近更新时间: 2023/12/25

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.0

CVSS v2

风险因素: High

基本分数: 8.5

时间分数: 6.3

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:N/A:P

CVSS 分数来源: CVE-2022-46751

CVSS v3

风险因素: High

基本分数: 8.2

时间分数: 7.1

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:L

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:amazon:linux:apache-ivy, p-cpe:/a:amazon:linux:apache-ivy-javadoc, cpe:/o:amazon:linux:2023

必需的 KB 项: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

易利用性: No known exploits are available

补丁发布日期: 2023/8/31

漏洞发布日期: 2023/8/21

参考资料信息

CVE: CVE-2022-46751