Ubuntu 14.04 LTS / 16.04 LTS:XStream 漏洞 (USN-6978-1)
critical Nessus 插件 ID 206123
语言:
简介
远程 Ubuntu 主机缺少一个或多个安全更新。描述
远程 14.04 LTS / 16.04 LTS 主机上安装的程序包受到 USN-6978-1 公告中提及的多个漏洞的影响。发现 XStream 未正确处理对某些特制 XML 文档的解析。远程攻击者可能利用此问题读取任意文件。(CVE-2016-3674)
Zhihong Tian 和 Hui Lu 发现 XStream 容易受到远程代码执行漏洞的影响。远程攻击者可能通过操纵处理过的输入流来运行任意 shell 命令。(CVE-2020-26217)
发现 XStream 容易遭受服务器端伪造攻击。远程攻击者可能通过操纵已处理的输入流,从不公开的内部资源请求数据。(CVE-2020-26258)
发现 XStream 容易在本地主机上遭受任意文件删除。由于执行进程只有通过操纵已处理的输入流才具有足够权限,远程攻击者可能利用此漏洞删除主机上的任意已知文件。(CVE-2020-26259)
发现 XStream 容易遭受拒绝服务、任意代码执行、任意文件删除和服务器端伪造攻击。远程攻击者可通过操控已处理的输入流,造成上述任何问题。(CVE-2021-21341、CVE-2021-21342、CVE-2021-21343、CVE-2021-21344、CVE-2021-21345、CVE-2021-21346、CVE-2021-21347、CVE-2021-21348、CVE-2021-21349、CVE-2021-21350、CVE-2021-21351)
Tenable 已直接从 Ubuntu 安全公告中提取上述描述块。
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
更新受影响的 libxstream-java 程序包。另见
插件详情
严重性: Critical
ID: 206123
文件名: ubuntu_USN-6978-1.nasl
版本: 1.3
类型: local
代理: unix
发布时间: 2024/8/22
最近更新时间: 2024/8/27
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
风险信息
VPR
风险因素: High
分数: 7.3
CVSS v2
风险因素: High
基本分数: 9.3
时间分数: 7.3
矢量: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C
CVSS 分数来源: CVE-2020-26217
CVSS v3
风险因素: Critical
基本分数: 9.9
时间分数: 8.9
矢量: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
CVSS 分数来源: CVE-2021-21345
漏洞信息
CPE: cpe:/o:canonical:ubuntu_linux:14.04:-:lts, p-cpe:/a:canonical:ubuntu_linux:libxstream-java, cpe:/o:canonical:ubuntu_linux:16.04:-:lts
必需的 KB 项: Host/cpu, Host/Debian/dpkg-l, Host/Ubuntu, Host/Ubuntu/release
可利用: true
易利用性: Exploits are available
补丁发布日期: 2024/8/22
漏洞发布日期: 2016/3/25
参考资料信息
CVE: CVE-2016-3674, CVE-2020-26217, CVE-2020-26258, CVE-2020-26259, CVE-2021-21341, CVE-2021-21342, CVE-2021-21343, CVE-2021-21344, CVE-2021-21345, CVE-2021-21346, CVE-2021-21347, CVE-2021-21348, CVE-2021-21349, CVE-2021-21350, CVE-2021-21351
USN: 6978-1