Linux Distros 未修补的漏洞: CVE-2023-31038
high Nessus 插件 ID 226714
语言:
简介
Linux/Unix 主机上安装的一个或多个程序包存在漏洞,但供应商表示不会修补此漏洞。描述
Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响,而供应商没有提供补丁程序。- 使用 ODBC appender 将日志消息发送到数据库时 Log4cxx 中的 SQL 注入。发送到数据库的任何字段均未为 SQL 注入正确转义。至少自版本 0.9.0(2003 年 8 月 6 日发布)起一直存在这种情况。请注意,Log4cxx 是 C++ 框架,因此只有 C++ 应用程序受到影响。
在版本 1.1.0之前,如果在编译库时找到该库,ODBC appender 自动成为 Log4cxx 的一部分。自版本 1.1.0起,其必须同时明确启用才能在中进行编译。必须满足三个先决条件,此漏洞才会成为可能: 1. Log4cxx 以 ODBC 支持编译(在版本 1.1.0之前,会在编译时自动检测) 2. 启用 ODBCAppender 以便记录消息到 ,通常通过配置文件完成 3 . 有时会记录用户输入。如果您的应用程序没有用户输入,就不可能受到影响。建议用户升级到版本 1.1.0 ,您可以将参数正确绑定到 SQL 语句,或迁移至除支持其他数据库外,还支持 ODBC 连接的新 DBAppender 类。请注意,此修复需要配置文件更新,因为旧配置文件将无法正确配置。下方显示了一个示例,更多信息请参阅关于 ODBCAppender 的 Log4cxx 文档。旧配置片段示例:<appender name=SqlODBCAppender class=ODBCAppender> <param name=sql value=INSERT INTO logs (message) VALUES ('%m') />... 此处的其他参数 ...</appender> 迁移后的配置片段包含新的 ColumnMapping 参数:<appender name=SqlODBCAppender class=ODBCAppender> <param name=sql value=INSERT INTO logs (message) VALUES (?) /> <param name=ColumnMapping value=message/>...此处的其他参数 ... </appender> (CVE-2023-31038)
请注意,Nessus 依赖供应商报告的程序包是否存在进行判断。
解决方案
目前尚未有任何已知的解决方案。插件详情
严重性: High
ID: 226714
文件名: unpatched_CVE_2023_31038.nasl
版本: 1.1
类型: local
代理: unix
系列: Misc.
发布时间: 2025/3/5
最近更新时间: 2025/3/5
支持的传感器: Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 6.7
CVSS v2
风险因素: High
基本分数: 9
时间分数: 7
矢量: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:C
CVSS 分数来源: CVE-2023-31038
CVSS v3
风险因素: High
基本分数: 8.8
时间分数: 7.9
矢量: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
漏洞信息
必需的 KB 项: Host/local_checks_enabled, Host/cpu, global_settings/vendor_unpatched
可利用: true
易利用性: Exploits are available
漏洞发布日期: 2023/5/8
参考资料信息
CVE: CVE-2023-31038