检测

Azure Linux 3.0 安全更新cloud-hypervisor / Flux / kata-containers / kata-containers-cc / rust / virtiofsd (CVE-2024-43806)

medium Nessus 插件 ID 216051

语言:

简介

远程 Azure Linux 主机缺少一个或多个安全更新。

描述

远程 Azure Linux 3.0 主机上安装的 cloud-hypervisor / Flux / kata-containers / kata-containers-cc / rust / virtiofsd 版本低于 测试的 版本。因此,该程序受到 CVE-2024-43806 公告中提及的一个漏洞影响。

 - Rustix 是指向 POSIX-ish API 的一组安全 Rust 绑定。通过“linux_raw”后端使用“rustix::fs::Dir”时会遇到 IO 错误迭代器可能会卡住。
 结合“rustix::fs::Dir::read_more”中的内存过度分配问题可造成快速无限制的内存爆炸如果在热路径上使用几秒内数 GB并最终导致 OOM 崩溃。然后,这些征兆最初发现于 https://github.com/imsnif/bandwhich/issues/284。该帖子提供了我们调查的大量详细信息。有关完整的详细信息请参阅 GHSA-c827-hfw6-qwvm repo 公告。如果程序在文件取消链接(或使“Dir”迭代器处于卡住状态的任何其他操作)后尝试访问及其文件描述符的目录,并且实现在遇到错误后未中断,则可导致内存爆炸。举例来说Linux 的多种虚拟文件系统如“/proc”、“/sys”可能包含会自动出现和消失的目录。如果实现发现错误继续执行尝试直接或间接例如通过“procfs”板条箱尝试使用“rustix::fs::Dir”对其进行迭代可触发此错误情况。因此,了解易受攻击目标的实现详细信息的攻击者可能会尝试通过任何一个或多个可用 API 的组合来触发此错误情况。如果成功则应用程序主机将很快耗尽内存此后应用程序可能被 OOM killer 终止从而导致拒绝服务。此问题已在发行版本 0.35.15、 0.36.16、 0.37.25和 0.38.19中得到解决。建议用户升级。目前尚无针对此问题的解决方案。(CVE-2024-43806)

请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的程序包。

另见

https://nvd.nist.gov/vuln/detail/CVE-2024-43806

插件详情

严重性: Medium

ID: 216051

文件名: azure_linux_CVE-2024-43806.nasl

版本: 1.5

类型: local

发布时间: 2025/2/11

最近更新时间: 2025/7/11

支持的传感器: Nessus

风险信息

VPR

风险因素: Low

分数: 3.6

CVSS v2

风险因素: Medium

基本分数: 6.8

时间分数: 5

矢量: CVSS2#AV:N/AC:L/Au:S/C:N/I:N/A:C

CVSS 分数来源: CVE-2024-43806

CVSS v3

风险因素: Medium

基本分数: 6.5

时间分数: 5.7

矢量: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:microsoft:azure_linux:kata-containers, p-cpe:/a:microsoft:azure_linux:virtiofsd-debuginfo, p-cpe:/a:microsoft:azure_linux:libflux, p-cpe:/a:microsoft:azure_linux:rust-doc, p-cpe:/a:microsoft:azure_linux:libflux-devel, p-cpe:/a:microsoft:azure_linux:kata-containers-tools, p-cpe:/a:microsoft:azure_linux:rust, p-cpe:/a:microsoft:azure_linux:kata-containers-cc-tools, p-cpe:/a:microsoft:azure_linux:kata-containers-cc, p-cpe:/a:microsoft:azure_linux:cloud-hypervisor, p-cpe:/a:microsoft:azure_linux:flux-debuginfo, x-cpe:/o:microsoft:azure_linux, p-cpe:/a:microsoft:azure_linux:virtiofsd

必需的 KB 项: Host/local_checks_enabled, Host/AzureLinux/release, Host/AzureLinux/rpm-list, Host/cpu

易利用性: No known exploits are available

补丁发布日期: 2025/2/6

漏洞发布日期: 2024/8/26

参考资料信息

CVE: CVE-2024-43806