Linux Distros 未修补的漏洞: CVE-2024-2408
medium Nessus 插件 ID 228000
语言:
简介
Linux/Unix 主机上安装的一个或多个程序包存在漏洞,但供应商表示不会修补此漏洞。描述
Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响,而供应商没有提供补丁程序。- 使用 PKCS1 padding(OPENSSL_PKCS1_PADDING,这是默认设置)时,PHP 中的 openssl_private_decrypt 函数容易受到 Marvin 攻击,除非其搭配包含来自此 pull request 的变更的 OpenSSL 版本: https://github.com/openssl/openssl/pull/13817(rsa_pkcs1_implicit_rejection)。这些变更包含在 OpenSSL 3.2 中,也已向后移植至各种 Linux 发行版本的稳定版,以及自上一版本以来为 Windows 提供的 PHP 版本。所有分销商和构建者应确保使用此版本,以免 PHP 受到攻击。版本 8.1.29、 8.2.20 和 8.3.8 及更高版本的 PHP Windows 版本中包含修复此漏洞的 OpenSSL 补丁。(CVE-2024-2408)
请注意,Nessus 依赖供应商报告的程序包是否存在进行判断。
解决方案
目前尚未有任何已知的解决方案。插件详情
严重性: Medium
ID: 228000
文件名: unpatched_CVE_2024_2408.nasl
版本: 1.1
类型: local
代理: unix
系列: Misc.
发布时间: 2025/3/5
最近更新时间: 2025/3/5
支持的传感器: Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 4.4
CVSS v2
风险因素: Medium
基本分数: 5.4
时间分数: 4.2
矢量: CVSS2#AV:N/AC:H/Au:N/C:C/I:N/A:N
CVSS 分数来源: CVE-2024-2408
CVSS v3
风险因素: Medium
基本分数: 5.9
时间分数: 5.3
矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
漏洞信息
必需的 KB 项: Host/local_checks_enabled, Host/cpu, global_settings/vendor_unpatched
可利用: true
易利用性: Exploits are available
漏洞发布日期: 2024/6/4
参考资料信息
CVE: CVE-2024-2408