Amazon Linux 2:webkitgtk4 (ALAS-2025-2869)
critical Nessus 插件 ID 237469
语言:
简介
远程 Amazon Linux 2 主机缺少安全更新。描述
远程主机上安装的 webkitgtk4 版本低于 2.46.6-1。因此,该软件受到 ALAS2-2025-2869 公告中提及的多个漏洞影响。已通过改进 UI 处理解决此问题。此问题已在 tvOS 17.4、macOS Sonoma 14.4、visionOS 1.1、iOS 17.4 和 iPadOS 17.4、watchOS 10.4 和 Safari 17.4 中修复。恶意网站可能会跨源泄露数据。(CVE-2024-23254)
已通过改进检查解决此逻辑问题。此问题已在 iOS 17.3 和 iPadOS 17.3、Safari 17.3、tvOS 17.3、macOS Sonoma 14.3、watchOS 10.3 中解决。恶意网站可能造成意外的跨源行为。(CVE-2024-23271)
已通过改进内存处理解决此问题。已在 tvOS 17.5、visionOS 1.2、Safari 17.5、iOS 17.5 和 iPadOS 17.5、watchOS 10.5、macOS Sonoma 14.5 中解决此问题。处理 Web 内容可能会导致任意代码执行。(CVE-2024-27808)
已通过改进内存处理解决此问题。已在 tvOS 17.5、iOS 16.7.8 和 iPadOS 16.7.8、visionOS 1.2、Safari 17.5、iOS 17.5 和 iPadOS 17.5、watchOS 10.5、macOS Sonoma 14.5 中解决此问题。
处理 Web 内容可能会导致任意代码执行。(CVE-2024-27820)
已通过改进的状态管理解决此问题。已在 tvOS 17.5、visionOS 1.2、Safari 17.5、iOS 17.5 和 iPadOS 17.5、watchOS 10.5、macOS Sonoma 14.5 中解决此问题。恶意构建的网页可能会识别用户。(CVE-2024-27830)
已通过改进输入验证解决整数溢出问题。已在 tvOS 17.5、iOS 16.7.8 和 iPadOS 16.7.8、visionOS 1.2、Safari 17.5、iOS 17.5 和 iPadOS 17.5 中解决此问题。- 处理恶意构建的 Web 内容可能会导致任意代码执行。(CVE-2024-27833)
已通过添加其他逻辑解决此问题。已在 tvOS 17.5、iOS 16.7.8 和 iPadOS 16.7.8、visionOS 1.2、Safari 17.5、iOS 17.5 和 iPadOS 17.5、watchOS 10.5、macOS Sonoma 14.5 中解决此问题。恶意构建的网页可能会识别用户。(CVE-2024-27838)
已通过改进噪声注入算法解决此问题。已在 visionOS 1.2、macOS Sonoma 14.5、Safari 17.5、iOS 17.5 和 iPadOS 17.5 中解决此问题。恶意构建的网页可能会识别用户。(CVE-2024-27850)
已通过改进边界检查解决此问题。已在 tvOS 17.5、visionOS 1.2、Safari 17.5、iOS 17.5 和 iPadOS 17.5、watchOS 10.5、macOS Sonoma 14.5 中解决此问题。- 处理恶意构建的 Web 内容可能会导致任意代码执行。(CVE-2024-27851)
已通过改进检查解决此问题。已在 macOS Sonoma 14.5、iOS 16.7.8 和 iPadOS 16.7.8、Safari 17.5、iOS 17.5 和 iPadOS 17.5、watchOS 10.5、tvOS 17.5、visionOS 1.2 中解决此问题。处理文件可导致应用程序意外终止或任意代码执行攻击。(CVE-2024-27856)
已通过改进内存管理解决释放后使用问题。此问题已在 iOS 16.7.9 和 iPadOS 16.7.9、Safari 17.6、iOS 17.6 和 iPadOS 17.6、watchOS 10.6、tvOS 17.6、visionOS 1.3、macOS Sonoma 14.6 中修复。处理恶意构建的 Web 内容可能导致进程意外崩溃。
(CVE-2024-40782)
已通过改进的状态管理解决此问题。已在 Safari 18、visionOS 2、watchOS 11、macOS Sequoia 15、iOS 18 和 iPadOS 18、tvOS 18 中修复此问题。处理恶意构建的 Web 内容可能会导致通用跨站脚本。(CVE-2024-40857)
已通过改进 UI 解决此问题。已在 Safari 18、macOS Sequoia 15 中修复此问题。访问恶意网站可能会导致地址栏欺骗。(CVE-2024-40866)
已通过改进检查解决此问题。已在 tvOS 17.6、visionOS 1.3、Safari 17.6、watchOS 10.6、iOS 17.6 和 iPadOS 17.6、macOS Sonoma 14.6 中解决此问题。处理恶意构建的 Web 内容或可导致进程意外崩溃。(CVE-2024-44185)
iframe 元素存在跨源问题。已通过改进安全源跟踪解决此问题。已在 Safari 18、visionOS 2、watchOS 11、macOS Sequoia 15、iOS 18 和 iPadOS 18、tvOS 18 中修复此问题。恶意网站可能会跨源泄露数据。(CVE-2024-44187)
已通过改进检查解决此问题。已在 watchOS 11、macOS Sequoia 15、Safari 18、visionOS 2、iOS 18 和 iPadOS 18、tvOS 18 中修复此问题。处理恶意构建的 Web 内容或可导致进程意外崩溃。(CVE-2024-44192)
已通过改进输入验证解决内存损坏问题。此问题已在 iOS 18.1 和 iPadOS 18.1、watchOS 11.1、visionOS 2.1、tvOS 18.1、macOS Sequoia 15.1、Safari 18.1 中修复。处理恶意构建的 Web 内容或可导致进程意外崩溃。(CVE-2024-44244)
已通过改进检查解决此问题。此问题已在 tvOS 18.1、iOS 18.1 和 iPadOS 18.1、iOS 17.7.1 和 iPadOS 17.7.1、watchOS 11.1、visionOS 2.1、macOS Sequoia 15.1、Safari 18.1 中修复。处理恶意构建的 Web 内容可能会阻止内容安全策略强制执行。(CVE-2024-44296)
已通过改进状态管理解决 cookie 管理问题。此问题已在 Safari 18.1.1、iOS 17.7.2 和 iPadOS 17.7.2、macOS Sequoia 15.1.1、iOS 18.1.1 和 iPadOS 18.1.1、visionOS 2.1.1 中修复。
处理恶意构建的 Web 内容可能会导致跨站脚本攻击。Apple 从报告中获悉,此问题可能已在基于 Intel 的 Mac 系统上被主动利用。(CVE-2024-44309)
已通过改进检查解决此问题。已在 iPadOS 17.7.3、watchOS 11.2、visionOS 2.2、tvOS 18.2、macOS Sequoia 15.2、Safari 18.2、iOS 18.2 和 iPadOS 18.2 中修复此问题。处理恶意构建的 Web 内容或可导致进程意外崩溃。(CVE-2024-54479)
已通过改进检查解决此问题。此问题已在 watchOS 11.2、visionOS 2.2、tvOS 18.2、macOS Sequoia 15.2、Safari 18.2、iOS 18.2 和 iPadOS 18.2 中修复。处理恶意构建的 Web 内容或可导致进程意外崩溃。(CVE-2024-54502)
已通过改进的内存处理解决类型混淆问题。已在 iPadOS 17.7.3、watchOS 11.2、visionOS 2.2、tvOS 18.2、macOS Sequoia 15.2、Safari 18.2、iOS 18.2 和 iPadOS 18.2 中修复此问题。
处理恶意构建的 Web 内容可能导致内存损坏。(CVE-2024-54505)
已通过改进内存处理解决此问题。此问题已在 watchOS 11.2、visionOS 2.2、tvOS 18.2、macOS Sequoia 15.2、Safari 18.2、iOS 18.2 和 iPadOS 18.2 中修复。处理恶意构建的 Web 内容或可导致进程意外崩溃。(CVE-2024-54508)
已通过改进内存处理解决此问题。此问题已在 watchOS 11.2、visionOS 2.2、tvOS 18.2、macOS Sequoia 15.2、Safari 18.2、iOS 18.2 和 iPadOS 18.2 中修复。处理恶意构建的 Web 内容可能导致内存损坏。(CVE-2024-54534)
已通过改进内存处理解决此问题。此问题已在 visionOS 2.2、tvOS 18.2、Safari 18.2、watchOS 11.2、iOS 18.2 和 iPadOS 18.2、macOS Sequoia 15.2 中修复。处理恶意构建的 Web 内容可能导致内存损坏。(CVE-2024-54543)
已通过改进内存处理解决此问题。已在 watchOS 10.6、tvOS 17.6、Safari 17.6、macOS Sonoma 14.6、visionOS 1.3、iOS 17.6 和 iPadOS 17.6 中修复此问题。处理网络内容可能会导致拒绝服务。(CVE-2024-54551)
已通过改进内存处理解决此问题。已在 iOS 17.4 和 iPadOS 17.4、Safari 17.4、tvOS 17.4、watchOS 10.4、visionOS 1.1、macOS Sonoma 14.4 中修复此问题。处理网络内容可能会导致拒绝服务。(CVE-2024-54658)
已通过改进文件系统的访问权限限制解决此问题。已在 macOS Sequoia 15.3、Safari 18.3、iOS 18.3 和 iPadOS 18.3、visionOS 2.3 中修复此问题。恶意构建的网页可能会识别用户。(CVE-2025-24143)
已通过改进对文件的处理解决隐私问题。此问题已在 macOS Sequoia 15.3、Safari 18.3、iOS 18.3 和 iPadOS 18.3 中修复。从 Web Inspector 复制 URL 可能导致命令注入。
(CVE-2025-24150)
已通过改进内存处理解决此问题。已在 visionOS 2.3、Safari 18.3、iOS 18.3 和 iPadOS 18.3、macOS Sequoia 15.3、watchOS 11.3、tvOS 18.3 中修复此问题。处理网络内容可能会导致拒绝服务。(CVE-2025-24158)
已通过改进的状态管理解决此问题。已在 visionOS 2.3、Safari 18.3、iOS 18.3 和 iPadOS 18.3、macOS Sequoia 15.3、watchOS 11.3、tvOS 18.3 中修复此问题。处理恶意构建的 Web 内容或可导致进程意外崩溃。(CVE-2025-24162)
已通过改进检查解决越界写入问题,从而阻止未经授权的行为。此问题已在 visionOS 2.3.2、iOS 18.3.2 和 iPadOS 18.3.2、macOS Sequoia 15.3.2、Safari 18.3.1 中修复。
恶意构建的 Web 内容可突破 Web Content 沙盒。这是针对已在 iOS 17.2 中阻止的攻击的补充补丁。(Apple 从报告中获悉,可能已有人针对 iOS 17.2 之前的 iOS 版本利用此问题,对特定目标个人进行了极为复杂的攻击。)(CVE-2025-24201)
已通过额外限制解决此权限问题。已在 Safari 18.4、iOS 18.4 和 iPadOS 18.4 中修复此问题。加载恶意 iframe 可能会导致跨站脚本攻击。
(CVE-2025-24208)
已通过改进的内存处理解决缓冲溢出问题。此问题已在 tvOS 18.4、Safari 18.4、iPadOS 17.7.6、iOS 18.4 和 iPadOS 18.4、macOS Sequoia 15.4 中修复。处理恶意构建的 Web 内容或可导致进程意外崩溃。(CVE-2025-24209)
已通过改进内存处理解决此问题。已在 visionOS 2.4、tvOS 18.4、iPadOS 17.7.6、iOS 18.4 和 iPadOS 18.4、macOS Sequoia 15.4、Safari 18.4 中修复此问题。处理恶意构建的 Web 内容可能导致 Safari 意外崩溃。(CVE-2025-24216)
已通过改进内存处理解决此问题。已在 visionOS 2.4、tvOS 18.4、iPadOS 17.7.6、iOS 18.4 和 iPadOS 18.4、macOS Sequoia 15.4、Safari 18.4 中修复此问题。处理恶意构建的 Web 内容可能导致 Safari 意外崩溃。(CVE-2025-24264)
已通过改进内存管理解决释放后使用问题。已在 visionOS 2.4、tvOS 18.4、iPadOS 17.7.6、iOS 18.4 和 iPadOS 18.4、macOS Sequoia 15.4、Safari 18.4 中修复此问题。处理恶意构建的 Web 内容可能导致 Safari 意外崩溃。(CVE-2025-30427)
Tenable 已直接从测试产品的安全公告中提取上述描述块。
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
运行“yum update webkitgtk4”以更新系统。另见
https://alas.aws.amazon.com/AL2/ALAS-2025-2869.html
https://alas.aws.amazon.com/cve/html/CVE-2024-23254.html
https://alas.aws.amazon.com/cve/html/CVE-2024-23271.html
https://alas.aws.amazon.com/cve/html/CVE-2024-27808.html
https://alas.aws.amazon.com/cve/html/CVE-2024-27820.html
https://alas.aws.amazon.com/cve/html/CVE-2024-27830.html
https://alas.aws.amazon.com/cve/html/CVE-2024-27833.html
https://alas.aws.amazon.com/cve/html/CVE-2024-27838.html
https://alas.aws.amazon.com/cve/html/CVE-2024-27850.html
https://alas.aws.amazon.com/cve/html/CVE-2024-27851.html
https://alas.aws.amazon.com/cve/html/CVE-2024-27856.html
https://alas.aws.amazon.com/cve/html/CVE-2024-40782.html
https://alas.aws.amazon.com/cve/html/CVE-2024-40857.html
https://alas.aws.amazon.com/cve/html/CVE-2024-40866.html
https://alas.aws.amazon.com/cve/html/CVE-2024-44185.html
https://alas.aws.amazon.com/cve/html/CVE-2024-44187.html
https://alas.aws.amazon.com/cve/html/CVE-2024-44192.html
https://alas.aws.amazon.com/cve/html/CVE-2024-44244.html
https://alas.aws.amazon.com/cve/html/CVE-2024-44296.html
https://alas.aws.amazon.com/cve/html/CVE-2024-44309.html
https://alas.aws.amazon.com/cve/html/CVE-2024-54479.html
https://alas.aws.amazon.com/cve/html/CVE-2024-54502.html
https://alas.aws.amazon.com/cve/html/CVE-2024-54505.html
https://alas.aws.amazon.com/cve/html/CVE-2024-54508.html
https://alas.aws.amazon.com/cve/html/CVE-2024-54534.html
https://alas.aws.amazon.com/cve/html/CVE-2024-54543.html
https://alas.aws.amazon.com/cve/html/CVE-2024-54551.html
https://alas.aws.amazon.com/cve/html/CVE-2024-54658.html
https://alas.aws.amazon.com/cve/html/CVE-2025-24143.html
https://alas.aws.amazon.com/cve/html/CVE-2025-24150.html
https://alas.aws.amazon.com/cve/html/CVE-2025-24158.html
https://alas.aws.amazon.com/cve/html/CVE-2025-24162.html
https://alas.aws.amazon.com/cve/html/CVE-2025-24201.html
https://alas.aws.amazon.com/cve/html/CVE-2025-24208.html
https://alas.aws.amazon.com/cve/html/CVE-2025-24209.html
https://alas.aws.amazon.com/cve/html/CVE-2025-24216.html
https://alas.aws.amazon.com/cve/html/CVE-2025-24264.html
插件详情
严重性: Critical
ID: 237469
文件名: al2_ALAS-2025-2869.nasl
版本: 1.1
类型: local
代理: unix
发布时间: 2025/5/29
最近更新时间: 2025/5/29
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
风险信息
VPR
风险因素: Critical
分数: 9.5
CVSS v2
风险因素: Critical
基本分数: 10
时间分数: 8.3
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS 分数来源: CVE-2025-24201
CVSS v3
风险因素: Critical
基本分数: 9.8
时间分数: 9.1
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:F/RL:O/RC:C
CVSS 分数来源: CVE-2024-54534
漏洞信息
CPE: p-cpe:/a:amazon:linux:webkitgtk4-devel, p-cpe:/a:amazon:linux:webkitgtk4-jsc-devel, p-cpe:/a:amazon:linux:webkitgtk4-jsc, cpe:/o:amazon:linux:2, p-cpe:/a:amazon:linux:webkitgtk4-debuginfo, p-cpe:/a:amazon:linux:webkitgtk4
必需的 KB 项: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
可利用: true
易利用性: No known exploits are available
补丁发布日期: 2025/5/29
漏洞发布日期: 2023/7/19
CISA 已知可遭利用的漏洞到期日期: 2024/12/12, 2025/4/3
参考资料信息
CVE: CVE-2024-23254, CVE-2024-23271, CVE-2024-27808, CVE-2024-27820, CVE-2024-27830, CVE-2024-27833, CVE-2024-27838, CVE-2024-27850, CVE-2024-27851, CVE-2024-27856, CVE-2024-40782, CVE-2024-40857, CVE-2024-40866, CVE-2024-44185, CVE-2024-44187, CVE-2024-44192, CVE-2024-44244, CVE-2024-44296, CVE-2024-44309, CVE-2024-54479, CVE-2024-54502, CVE-2024-54505, CVE-2024-54508, CVE-2024-54534, CVE-2024-54543, CVE-2024-54551, CVE-2024-54658, CVE-2025-24143, CVE-2025-24150, CVE-2025-24158, CVE-2025-24162, CVE-2025-24201, CVE-2025-24208, CVE-2025-24209, CVE-2025-24216, CVE-2025-24264, CVE-2025-30427