Linux Distros 未修补的漏洞:CVE-2023-30549
high Nessus 插件 ID 247109
语言:
简介
Linux/Unix 主机上安装的一个或多个程序包存在漏洞,但供应商表示不会修补此漏洞。描述
Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响,而供应商没有提供补丁程序。- Apptainer 是一个适用于 Linux 的开源容器平台。Apptainer 版本低于 1.1.0 以及安装了 apptainer-suid 版本低于 1.1.8 的旧操作系统中存在 ext4 释放后使用漏洞。这个漏洞在尚未修补该 CVE 的旧操作系统上可以被利用。其中包括 Red Hat Enterprise Linux 7、Debian 10 buster(安装了 linux-5.10 软件包的操作系统除外)、Ubuntu 18.04 bionic 和 Ubuntu 20.04 focal。
内核中存在释放后使用缺陷,攻击者可借此攻击内核以造成拒绝服务并可能导致特权提升。Apptainer 1.1.8 包含一个补丁,默认情况下禁用 setuid-root 模式下挂载 extfs 文件系统类型,同时继续允许使用 fuse2fs 在非 setuid 无根模式下挂载 extfs 文件系统。存在可用的解决方法。用户可选择不安装 apptainer-suid(对于版本 1.1.0 到 1.1.7);或在 apptainer.conf 中设置“allow setuid = no”。要满足条件,需要启用非特权用户命名空间,并且除了 apptainer 1.1.x 版本外,还禁止挂载 sif 文件、extfs 文件和 squashfs 文件,此外还涉及其他一些较不重要的影响。(apptainer 1.1.x 中的非特权状态也不支持加密的 sif 文件。)。或者,使用 apptainer.conf/singularity.conf 中的“limit containers”选项将 sif 文件限制为受信任的用户、组和/或路径,并设置“allow container extfs = no”以禁止挂载 extfs 覆盖文件。后一个选项本身并不禁止在 SIF 文件内挂载 extfs 覆盖分区,这就是为什么还需要前一个选项。(CVE-2023-30549)
请注意,Nessus 依赖供应商报告的程序包是否存在进行判断。
解决方案
目前尚未有任何已知的解决方案。另见
插件详情
严重性: High
ID: 247109
文件名: unpatched_CVE_2023_30549.nasl
版本: 1.1
类型: local
代理: unix
系列: Misc.
发布时间: 2025/8/9
最近更新时间: 2025/8/9
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 6.7
CVSS v2
风险因素: High
基本分数: 7.2
时间分数: 5.3
矢量: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C
CVSS 分数来源: CVE-2023-30549
CVSS v3
风险因素: High
基本分数: 7.8
时间分数: 6.8
矢量: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: cpe:/o:canonical:ubuntu_linux:24.04:-:lts, cpe:/o:canonical:ubuntu_linux:25.04, cpe:/o:canonical:ubuntu_linux:18.04:-:lts, p-cpe:/a:canonical:ubuntu_linux:singularity-container
必需的 KB 项: Host/local_checks_enabled, Host/cpu, global_settings/vendor_unpatched, Host/OS/identifier
易利用性: No known exploits are available
漏洞发布日期: 2023/4/25
参考资料信息
CVE: CVE-2023-30549