Azure Linux 3.0 安全更新gcc (CVE-2023-4039)
medium Nessus 插件 ID 215473
语言:
简介
远程 Azure Linux 主机缺少一个或多个安全更新。描述
远程 Azure Linux 3.0 主机上安装的 gcc 版本低于 测试的版本。因此,该程序受到 CVE-2023-4039 公告中提及的一个漏洞影响。- **存在争议**以 AArch64 为目标的基于 GCC 的工具链中的 -fstack-protector 功能故障允许攻击者在未检测到此问题时利用应用程序中动态大小本地变量的现有缓冲区溢出。此 stack-protector 故障仅适用于 C99样式动态大小的本地变量或使用 alloca() 创建的变量。stack-protector 会按照静态大小的本地变量的预期正常运行。当 stack-protector 检测到溢出时,默认行为即终止您的应用程序,而这会导致受控的可用性损失。能在不触发 stack-protector 的情况下利用缓冲区溢出的攻击者可更改程序流控制,这可造成不受控制的可用性损失,或是对机密性或完整性的进一步影响。注意GCC 项目认为这是遗漏强化缺陷其本身并非漏洞。 (CVE-2023-4039)
请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
更新受影响的程序包。另见
插件详情
严重性: Medium
ID: 215473
文件名: azure_linux_CVE-2023-4039.nasl
版本: 1.1
类型: local
发布时间: 2025/2/10
最近更新时间: 2025/2/10
支持的传感器: Nessus
风险信息
VPR
风险因素: Low
分数: 3.3
CVSS v2
风险因素: Medium
基本分数: 4
时间分数: 3.1
矢量: CVSS2#AV:N/AC:H/Au:N/C:P/I:P/A:N
CVSS 分数来源: CVE-2023-4039
CVSS v3
风险因素: Medium
基本分数: 4.8
时间分数: 4.3
矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
漏洞信息
CPE: p-cpe:/a:microsoft:azure_linux:gfortran, p-cpe:/a:microsoft:azure_linux:gcc-c%2b%2b, p-cpe:/a:microsoft:azure_linux:gcc-c%2b%2b-aarch64-linux-gnu, p-cpe:/a:microsoft:azure_linux:cross-gcc-common, p-cpe:/a:microsoft:azure_linux:libstdc%2b%2b, p-cpe:/a:microsoft:azure_linux:libbacktrace-static, p-cpe:/a:microsoft:azure_linux:libgcc, x-cpe:/o:microsoft:azure_linux, p-cpe:/a:microsoft:azure_linux:libgcc-devel, p-cpe:/a:microsoft:azure_linux:libgcc-atomic, p-cpe:/a:microsoft:azure_linux:gcc, p-cpe:/a:microsoft:azure_linux:libgomp, p-cpe:/a:microsoft:azure_linux:libgomp-devel, p-cpe:/a:microsoft:azure_linux:gcc-debuginfo, p-cpe:/a:microsoft:azure_linux:gcc-aarch64-linux-gnu, p-cpe:/a:microsoft:azure_linux:libstdc%2b%2b-devel
必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/AzureLinux/release, Host/AzureLinux/rpm-list
可利用: true
易利用性: Exploits are available
补丁发布日期: 2024/7/9
漏洞发布日期: 2023/9/8
参考资料信息
CVE: CVE-2023-4039