Amazon Linux 2023perl-Mojolicious、perl-Test-MojoALAS2023-2025-985
high Nessus 插件 ID 237678
语言:
简介
远程 Amazon Linux 2023 主机缺少安全更新。描述
因此,该软件受到 ALAS2023-2025-985 公告中提及的多个漏洞影响。适用于 Perl 的 0.999922 至 9.39 的Mojolicious 版本默认使用硬编码字符串或应用程序的类名称作为 HMAC 会话密钥。
可利用这些可预测的默认密码伪造会话 Cookie。知道或猜测密码的攻击者可计算会话 cookie 的有效 HMAC 签名从而篡改或劫持其他用户的会话。 (CVE-2024-58134)
适用于 Perl 的 7.28 到 9.39 版的 Mojolicious 可能会生成弱 HMAC 会话密钥。
当通过 mojo 生成应用程序工具创建默认应用程序时系统会使用不安全的 rand() 函数将弱密钥写入应用程序的配置文件中并用于认证和保护应用程序会话的完整性。这可允许攻击者暴力破解应用程序的会话密钥。++6330 (CVE-2024-58135)
Tenable 已直接从测试产品的安全公告中提取上述描述块。
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
运行“dnf update perl-Mojolicious --releasever 2023.7.20250527”以更新系统。另见
https://alas.aws.amazon.com/AL2023/ALAS-2025-985.html
https://alas.aws.amazon.com/cve/html/CVE-2024-58134.html
插件详情
严重性: High
ID: 237678
文件名: al2023_ALAS2023-2025-985.nasl
版本: 1.1
类型: local
代理: unix
发布时间: 2025/6/2
最近更新时间: 2025/6/2
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 6.0
CVSS v2
风险因素: High
基本分数: 8.5
时间分数: 6.3
矢量: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:N
CVSS 分数来源: CVE-2024-58134
CVSS v3
风险因素: High
基本分数: 8.1
时间分数: 7.1
矢量: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: p-cpe:/a:amazon:linux:perl-test-mojo, p-cpe:/a:amazon:linux:perl-mojolicious, cpe:/o:amazon:linux:2023
必需的 KB 项: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
易利用性: No known exploits are available
补丁发布日期: 2025/6/2
漏洞发布日期: 2025/5/3
参考资料信息
CVE: CVE-2024-58134, CVE-2024-58135