Linux Distros 未修补的漏洞: CVE-2020-7942
medium Nessus 插件 ID 230224
语言:
简介
Linux/Unix 主机上安装的一个或多个程序包存在漏洞,但供应商表示不会修补此漏洞。描述
Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响,而供应商没有提供补丁程序。- 此前,Puppet 运行所在模型中,具有有效证书的节点有权访问系统中的所有信息,受损证书允许访问基础设施中的所有内容。当节点的目录回退到“default”节点时,可通过修改 Puppet 运行的事实来检索其他节点的目录。此问题可通过在 Puppet 主控端的“puppet.conf”中设置“strict_hostname_checking = true”来缓解。Puppet 6.13.0 和 5.5.19 将 strict_hostname_checking 的默认行为从 false 更改为 true。建议不升级的 Puppet Open Source 和 Puppet Enterprise 用户仍然将 strict_hostname_checking 设置为 true,以确保安全行为。受影响的软件版本: 低于 6.13.0 的 Puppet 6.x 低于 6.13.0 的Puppet Agent 6.x5.5.x 低于 5.5.19 的 Puppet [] ,低于 [] 的 Puppet Agent 5.5.x 低于 5.5.19 已在下列版本中解决: Puppet 6.13.0 Puppet Agent 6.13.0 Puppet 5.5.19 Puppet Agent 5.5.19 (CVE-2020-7942)
请注意,Nessus 依赖供应商报告的程序包是否存在进行判断。
解决方案
目前尚未有任何已知的解决方案。另见
插件详情
严重性: Medium
ID: 230224
文件名: unpatched_CVE_2020_7942.nasl
版本: 1.2
类型: local
代理: unix
系列: Misc.
发布时间: 2025/3/5
最近更新时间: 2025/8/30
支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus
风险信息
VPR
风险因素: Low
分数: 3.6
CVSS v2
风险因素: Medium
基本分数: 4
时间分数: 3
矢量: CVSS2#AV:N/AC:L/Au:S/C:P/I:N/A:N
CVSS 分数来源: CVE-2020-7942
CVSS v3
风险因素: Medium
基本分数: 6.5
时间分数: 5.7
矢量: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: cpe:/o:debian:debian_linux:11.0, p-cpe:/a:debian:debian_linux:puppet
必需的 KB 项: Host/OS/identifier, Host/cpu, Host/local_checks_enabled, global_settings/vendor_unpatched
易利用性: No known exploits are available
漏洞发布日期: 2020/2/19
参考资料信息
CVE: CVE-2020-7942