Azure Linux 3.0 安全更新azure-iot-sdk-c (CVE-2024-29195)
medium Nessus 插件 ID 233164
语言:
简介
远程 Azure Linux 主机缺少一个或多个安全更新。描述
远程 Azure Linux 3.0 主机上安装的 azure-iot-sdk-c 版本低于 测试的 版本。因此,该程序受到 CVE-2024-29195 公告中提及的一个漏洞影响。- azure-c-shared-utility 是用于与 Azure 云服务进行 AMQP/MQTT 通信的 C 库。Azure IoT C SDK 可使用此库在 IoT 中心和 IoT 中心设备之间进行通信。由于参数检查机制中的漏洞攻击者可通过利用 Azure C SDK 中的缓冲区长度参数造成整数回绕、分配不足或堆缓冲区溢出这可导致远程代码执行。RCE 的要求为 1. 受损的 Azure 帐户允许通过 IoT 中心服务将畸形负载发送到设备。 2. 通过传递 IoT 中心服务最大消息负载限制为 128KB。以及 3. 使用远程代码覆盖代码空间的能力。已在提交 https://github.com/Azure/azure-c-shared-utility/commit/1129147c38ac02ad974c4c701a1e01b2141b9fe2.(CVE-2024-29195中修复
请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
更新受影响的程序包。另见
插件详情
严重性: Medium
ID: 233164
文件名: azure_linux_CVE-2024-29195.nasl
版本: 1.2
类型: local
发布时间: 2025/3/20
最近更新时间: 2025/9/15
支持的传感器: Nessus
风险信息
VPR
风险因素: Medium
分数: 5.5
CVSS v2
风险因素: Medium
基本分数: 6.4
时间分数: 4.7
矢量: CVSS2#AV:N/AC:H/Au:M/C:C/I:C/A:P
CVSS 分数来源: CVE-2024-29195
CVSS v3
风险因素: Medium
基本分数: 6
时间分数: 5.2
矢量: CVSS:3.0/AV:N/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:L
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: p-cpe:/a:microsoft:azure_linux:azure-iot-sdk-c, x-cpe:/o:microsoft:azure_linux
必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/AzureLinux/release, Host/AzureLinux/rpm-list
易利用性: No known exploits are available
补丁发布日期: 2025/3/11
漏洞发布日期: 2024/3/26
参考资料信息
CVE: CVE-2024-29195