检测

RHEL 8:OpenShift Container Platform 4.8.56 (RHSA-2023:0017)

high Nessus 插件 ID 194338

语言:

简介

远程 Red Hat 主机缺少 OpenShift Container Platform 4.8.56 的一个或多个安全更新。

描述

远程 Redhat Enterprise Linux 8 主机上安装的多个程序包受到 RHSA-2023:0017 公告中提及的多个漏洞影响。

 - http2-server:无效的 HTTP/2 请求导致 DoS (CVE-2022-2048)

 - Pipeline Shared Groovy 库:不受信任的用户可以修改 Pipeline Shared Groovy 库插件中的某些 Pipeline 库 (CVE-2022-29047)

 - Jenkins 插件:通过 Pipeline: Groovy 插件中的隐式允许列表平台 Groovy 文件绕过沙盒漏洞 (CVE-2022-30945)

 - Jenkins 插件:脚本安全插件中存在 CSRF 漏洞 (CVE-2022-30946)

 - Jenkins 插件:Mercurial SCM 插件可从控制器文件系统检出 (CVE-2022-30948)

 - Jenkins 插件:Pipeline SCM API for Blue Ocean 插件将用户范围的凭据泄露给其他用户 (CVE-2022-30952)

 - Jenkins 插件:Blue Ocean 插件中存在 CSRF 漏洞 (CVE-2022-30953)

 - Jenkins 插件:Blue Ocean 插件中缺少权限检查 (CVE-2022-30954)

 - jenkins:可观察到的时序差异允许确定用户名有效性 (CVE-2022-34174)

 - jenkins-plugin/junit:JUnit 插件中的存储型 XSS 漏洞 (CVE-2022-34176)

 - jenkins-plugin:Pipeline Input Steps 插件中的任意文件写入漏洞 (CVE-2022-34177)

 - jenkins-plugin:org.jenkins-ci.plugins:git-client 中的中间人 (MitM) 攻击 (CVE-2022-36881)

 - jenkins-plugin:org.jenkins-ci.plugins:git 中存在跨站请求伪造 (CSRF) 漏洞 (CVE-2022-36882)

 - jenkins 插件:Git 插件 Webhook 中缺少身份验证机制(CVE-2022-36883、CVE-2022-36884)

 - jenkins 插件:GitHub 插件中存在非常量时间 Webhook 签名比较 (CVE-2022-36885)

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

依据 RHSA-2023:0017 中的指南更新 RHEL OpenShift Container Platform 4.8.56 程序包。

另见

http://www.nessus.org/u?7299f845

https://access.redhat.com/security/updates/classification/#important

https://bugzilla.redhat.com/show_bug.cgi?id=2074855

https://bugzilla.redhat.com/show_bug.cgi?id=2103548

https://bugzilla.redhat.com/show_bug.cgi?id=2103551

https://bugzilla.redhat.com/show_bug.cgi?id=2114755

https://bugzilla.redhat.com/show_bug.cgi?id=2116840

https://bugzilla.redhat.com/show_bug.cgi?id=2116952

https://bugzilla.redhat.com/show_bug.cgi?id=2119642

https://bugzilla.redhat.com/show_bug.cgi?id=2119643

https://bugzilla.redhat.com/show_bug.cgi?id=2119644

https://bugzilla.redhat.com/show_bug.cgi?id=2119645

https://bugzilla.redhat.com/show_bug.cgi?id=2119646

https://bugzilla.redhat.com/show_bug.cgi?id=2119647

https://bugzilla.redhat.com/show_bug.cgi?id=2119653

https://bugzilla.redhat.com/show_bug.cgi?id=2119656

https://bugzilla.redhat.com/show_bug.cgi?id=2119657

https://bugzilla.redhat.com/show_bug.cgi?id=2119658

https://access.redhat.com/errata/RHSA-2023:0017

插件详情

严重性: High

ID: 194338

文件名: redhat-RHSA-2023-0017.nasl

版本: 1.1

类型: local

代理: unix

发布时间: 2024/4/28

最近更新时间: 2024/11/7

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.5

Vendor

Vendor Severity: Important

CVSS v2

风险因素: Medium

基本分数: 6.8

时间分数: 5

矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

CVSS 分数来源: CVE-2022-30945

CVSS v3

风险因素: High

基本分数: 8.8

时间分数: 7.7

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

CVSS 分数来源: CVE-2022-36882

漏洞信息

CPE: p-cpe:/a:redhat:enterprise_linux:jenkins-2-plugins, cpe:/o:redhat:enterprise_linux:8, p-cpe:/a:redhat:enterprise_linux:jenkins

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

易利用性: No known exploits are available

补丁发布日期: 2023/1/12

漏洞发布日期: 2022/4/12

参考资料信息

CVE: CVE-2022-2048, CVE-2022-29047, CVE-2022-30945, CVE-2022-30946, CVE-2022-30948, CVE-2022-30952, CVE-2022-30953, CVE-2022-30954, CVE-2022-34174, CVE-2022-34176, CVE-2022-34177, CVE-2022-36881, CVE-2022-36882, CVE-2022-36883, CVE-2022-36884, CVE-2022-36885

CWE: 200, 208, 22, 288, 322, 352, 410, 435, 668, 693, 79, 862

RHSA: 2023:0017