检测

Azure Linux 3.0 安全更新cloud-hypervisor-cvm / nodejs / nodejs18 / openssl (CVE-2023-6129)

medium Nessus 插件 ID 215311

语言:

简介

远程 Azure Linux 主机缺少一个或多个安全更新。

描述

远程 Azure Linux 3.0 主机上安装的 cloud-hypervisor-cvm / nodejs / nodejs18 / openssl 版本低于 测试的 版本。因此,该程序受到 CVE-2023-6129 公告中提及的一个漏洞影响。

 - 问题摘要:POLY1305 MAC(消息验证代码)实现存在错误,如果 CPU 提供向量指令,该错误可能会损坏 PowerPC CPU 平台上运行的应用程序的内部状态。- 影响摘要:如果攻击者可对是否使用 POLY1305 MAC 算法产生影响,则应用程序状态可能会被破坏,同时还会产生与应用程序相关的各种后果。OpenSSL for PowerPC CPU 中的 POLY1305 MAC(消息验证代码)实现会以不同于保存时的顺序恢复向量寄存器的内容。因此,在返回调用程序时,某些向量寄存器的内容会遭到破坏。易受攻击的代码仅可在支持 PowerISA 2.07 指令的新版 PowerPC 处理器上使用。这种内部应用程序状态损坏的后果可能多种多样,可能是没有任何后果(如果调用应用程序根本不依赖于非易失性 XMM 寄存器中的内容),也可能是最糟糕的后果(攻击者可以完全控制应用程序进程。然而,除非编译器用户使用向量寄存器存储指针,否则最可能出现的结果(如有)就是:与应用程序相关的错误计算结果或导致拒绝服务的崩溃情形。POLY1305 MAC 算法最常用作 CHACHA20-POLY1305 AEAD(含有相关数据,且经验证的加密模式)算法的一部分。此 AEAD 密码最常见的用途是与 1.2 和 1.3 版本的 TLS 协议一起使用。如果服务器上启用了此密码,恶意客户端可以影响是否使用此 AEAD 密码。
 这意味着使用 OpenSSL 的 TLS 服务器应用程序可能会受到影响。然而,我们目前并未发现任何具体的应用程序会受到此问题的影响,因此我们认为这是一个低危安全问题。(CVE-2023-6129)

请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的程序包。

另见

https://nvd.nist.gov/vuln/detail/CVE-2023-6129

插件详情

严重性: Medium

ID: 215311

文件名: azure_linux_CVE-2023-6129.nasl

版本: 1.1

类型: local

发布时间: 2025/2/10

最近更新时间: 2025/2/10

支持的传感器: Nessus

风险信息

VPR

风险因素: Medium

分数: 5.0

CVSS v2

风险因素: Medium

基本分数: 6.1

时间分数: 4.5

矢量: CVSS2#AV:N/AC:H/Au:N/C:N/I:P/A:C

CVSS 分数来源: CVE-2023-6129

CVSS v3

风险因素: Medium

基本分数: 6.5

时间分数: 5.7

矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:microsoft:azure_linux:nodejs-devel, p-cpe:/a:microsoft:azure_linux:openssl, p-cpe:/a:microsoft:azure_linux:nodejs18-debuginfo, p-cpe:/a:microsoft:azure_linux:openssl-devel, x-cpe:/o:microsoft:azure_linux, p-cpe:/a:microsoft:azure_linux:nodejs, p-cpe:/a:microsoft:azure_linux:nodejs-npm, p-cpe:/a:microsoft:azure_linux:nodejs18, p-cpe:/a:microsoft:azure_linux:openssl-static, p-cpe:/a:microsoft:azure_linux:openssl-libs, p-cpe:/a:microsoft:azure_linux:nodejs18-devel, p-cpe:/a:microsoft:azure_linux:openssl-perl, p-cpe:/a:microsoft:azure_linux:cloud-hypervisor-cvm

必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/AzureLinux/release, Host/AzureLinux/rpm-list

易利用性: No known exploits are available

补丁发布日期: 2024/9/10

漏洞发布日期: 2024/1/9

参考资料信息

CVE: CVE-2023-6129

IAVA: 2024-A-0121-S