Linux Distros 未修补的漏洞: CVE-2019-19234
high Nessus 插件 ID 222744
语言:
简介
Linux/Unix 主机上安装的一个或多个程序包存在漏洞,但供应商表示不会修补此漏洞。描述
Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响,而供应商没有提供补丁程序。- 在到 1.8.29的 Sudo 中,未考虑用户已被阻断的事实(例如,通过使用影子文件中的 ! 字符而非密码哈希),从而允许攻击者(具有 Runas ALL sudoer 帐户访问权限的)模拟任何被阻断的用户。注意: 软件维护者认为此 CVE 无效。禁用用户的本地密码认证与禁用针对该用户的所有访问权限不同--the 用户仍可通过其他方式(ssh 密钥、kerberos 等)登录。Linux shadow(5) 和 passwd(1) 手册均明确说明此问题。事实上,_only_ 通过 sudo 访问且无法使用密码的本地帐户是一个有效的使用案例。Sudo 1.8.30 添加了一个可选设置以针对 /etc/shells 的内容检查目标用户的 _shell_(非加密的密码!),但这与防止访问具有无效密码哈希的用户不同(CVE-2019-19234)
请注意,Nessus 依赖供应商报告的程序包是否存在进行判断。
解决方案
目前尚未有任何已知的解决方案。插件详情
严重性: High
ID: 222744
文件名: unpatched_CVE_2019_19234.nasl
版本: 1.1
类型: local
代理: unix
系列: Misc.
发布时间: 2025/3/4
最近更新时间: 2025/3/4
支持的传感器: Nessus Agent, Nessus
风险信息
VPR
风险因素: Low
分数: 3.6
CVSS v2
风险因素: Medium
基本分数: 5
时间分数: 3.7
矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N
CVSS 分数来源: CVE-2019-19234
CVSS v3
风险因素: High
基本分数: 7.5
时间分数: 6.5
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
必需的 KB 项: Host/local_checks_enabled, Host/cpu, global_settings/vendor_unpatched
易利用性: No known exploits are available
漏洞发布日期: 2019/12/19
参考资料信息
CVE: CVE-2019-19234