检测

Azure Linux 3.0 安全更新 cert-manager / cf-cli / docker-buildx / docker-compose / moby-compose / moby-engine / packer (CVE-2024-45337)

critical Nessus 插件 ID 215502

语言:

简介

远程 Azure Linux 主机缺少一个或多个安全更新。

描述

远程 Azure Linux 3.0 主机上安装的 cert-manager / cf-cli / docker-buildx / docker-compose / moby-compose / moby-engine / packer 版本低于 测试的 版本。因此,该程序受到 CVE-2024-45337 公告中提及的一个漏洞影响。

 - 滥用 connection.serverAuthenticate 通过回调字段 ServerConfig.PublicKeyCallback的应用程序和库 可能容易受到授权绕过。ServerConfig.PublicKeyCallback 的文档中称,调用此函数不保证所提供的密钥确实用于身份验证。具体来说,SSH 协议允许客户端在证明对相应私钥的控制权之前查询公钥是否可接受。PublicKeyCallback 可能会通过多个密钥调用,且提供密钥的顺序无法用于推断客户端成功认证的密钥如果有。某些应用程序可能会做出不正确的假设,这些应用程序会存储传递给 PublicKeyCallback 的密钥或派生信息,并在建立连接后据此做出安全相关的确定。例如攻击者可能发送公钥 A 和 B然后使用 A 进行认证。PublicKeyCallback 只会被调用两次第一次使用 A第二次使用 B。易受攻击的应用程序然后可能根据攻击者使用的密钥 B 做出授权决策实际不控制私钥。由于此 API 遭到广泛滥用,因此作为部分缓解措施,golang.org/x/[email protected] 会强制执行以下属性:当通过公钥成功进行身份验证时,最后传递给 ServerConfig.PublicKeyCallback 的密钥是对连接进行身份验证时使用的密钥。如有必要,现在会使用相同的密钥多次调用 PublicKeyCallback。请注意如果随后使用不同方法例如 PasswordCallback、KeyboardInteractiveCallback 或 NoClientAuth对连接进行身份验证则客户端可能仍无法控制传递给 PublicKeyCallback 的最后一个密钥。用户应使用来自各种身份验证回调的“权限”返回值的 Extensions 字段来记录与身份验证尝试相关的数据,而不是引用外部状态。建立连接后,可通过 ServerConn.Permissions 字段检索与成功的身份验证尝试对应的状态。请注意,某些第三方库通过在身份验证尝试之间共享“权限”类型来加以滥用;使用第三方库的用户应参阅相关项目以获取指导。(CVE-2024-45337)

请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的程序包。

另见

https://nvd.nist.gov/vuln/detail/CVE-2024-45337

插件详情

严重性: Critical

ID: 215502

文件名: azure_linux_CVE-2024-45337.nasl

版本: 1.2

类型: local

发布时间: 2025/2/10

最近更新时间: 2025/3/13

支持的传感器: Nessus

风险信息

VPR

风险因素: Medium

分数: 6.0

CVSS v2

风险因素: High

基本分数: 9.4

时间分数: 7.4

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:N

CVSS 分数来源: CVE-2024-45337

CVSS v3

风险因素: Critical

基本分数: 9.1

时间分数: 8.2

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:microsoft:azure_linux:cert-manager-controller, p-cpe:/a:microsoft:azure_linux:cert-manager, p-cpe:/a:microsoft:azure_linux:docker-buildx, p-cpe:/a:microsoft:azure_linux:cert-manager-cainjector, p-cpe:/a:microsoft:azure_linux:moby-engine, p-cpe:/a:microsoft:azure_linux:docker-compose, p-cpe:/a:microsoft:azure_linux:cert-manager-debuginfo, p-cpe:/a:microsoft:azure_linux:packer, p-cpe:/a:microsoft:azure_linux:cert-manager-cmctl, p-cpe:/a:microsoft:azure_linux:cf-cli, x-cpe:/o:microsoft:azure_linux, p-cpe:/a:microsoft:azure_linux:docker-compose-debuginfo, p-cpe:/a:microsoft:azure_linux:moby-compose, p-cpe:/a:microsoft:azure_linux:cert-manager-acmesolver, p-cpe:/a:microsoft:azure_linux:cert-manager-webhook, p-cpe:/a:microsoft:azure_linux:docker-buildx-debuginfo

必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/AzureLinux/release, Host/AzureLinux/rpm-list

可利用: true

易利用性: Exploits are available

补丁发布日期: 2025/1/14

漏洞发布日期: 2024/12/11

参考资料信息

CVE: CVE-2024-45337