Linux Distros 未修补的漏洞:CVE-2024-52046

critical Nessus 插件 ID 248097

简介

Linux/Unix 主机上安装的一个或多个程序包存在漏洞,但供应商表示不会修补此漏洞。

描述

Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响,而供应商没有提供补丁程序。

- Apache MINA 中的 ObjectSerializationDecoder 虽然使用 Java 的原生反序列化协议来处理传入的序列化数据,但缺乏必要的安全检查和防护措施。该漏洞允许攻击者通过发送经过特殊构造的恶意序列化数据来利用反序列化过程,从而可能导致远程代码执行(RCE)攻击。此问题影响 MINA 核心版本 2.0.X、2.1.X和 2.2.X,并将由版本 2.0.27、2.1.10和2.2.4修复。另外需要注意的是,只有在调用 IoBuffer#getObject() 方法时,使用 MINA 核心库的应用程序才会受到影响,而当在过滤器链中使用 ObjectSerializationCodecFactory 类添加 ProtocolCodecFilter 实例时,可能会调用该特定方法。如果应用程序专门使用这些类,则必须升级到最新版本的 MINA 核心库。仅进行升级是不够的:你还需要在 ObjectSerializationDecoder 实例中,使用以下三个新方法之一,显式地允许解码器接受的类:/** * 接受由给定的 ClassNameMatcher 匹配的类名 * 用于反序列化,除非它们因其他原因被拒绝。* * @param classNameMatcher 要使用的匹配器 */ public void accept(ClassNameMatcher classNameMatcher) /** * 接受与给定模式匹配的类名 * 用于反序列化,除非它们因其他原因被拒绝。 * * @param pattern 标准 Java 正则表达式 */ public void accept(Pattern pattern) /** * 接受指定通配符的类用于反序列化, * 除非它们因其他原因被拒绝。* * @param patterns 由 * {@link org.apache.commons.io.FilenameUtils#wildcardMatch(String, String) FilenameUtils.wildcardMatch} 定义的通配符文件名模式 */ public void accept(String... patterns) 默认情况下,解码器将拒绝 *所有* 出现在传入数据中的类。注意:FtpServer、SSHd 和 Vysper 子项目不受此问题的影响。
(CVE-2024-52046)

请注意,Nessus 依赖供应商报告的程序包是否存在进行判断。

解决方案

目前尚未有任何已知的解决方案。

另见

https://security-tracker.debian.org/tracker/CVE-2024-52046

https://ubuntu.com/security/CVE-2024-52046

插件详情

严重性: Critical

ID: 248097

文件名: unpatched_CVE_2024_52046.nasl

版本: 1.9

类型: Local

代理: unix

系列: Misc.

发布时间: 2025/8/11

最近更新时间: 2026/6/24

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.9

百分位: 96.92

CVSS v3

风险因素: Critical

基本分数: 9.8

时间分数: 9

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:U/RL:U/RC:C

CVSS 分数来源: CVE-2024-52046

漏洞信息

CPE: cpe:/o:canonical:ubuntu_linux:25.04, cpe:/o:debian:debian_linux:11.0, p-cpe:/a:debian:debian_linux:mina2, cpe:/o:canonical:ubuntu_linux:20.04:-:lts, cpe:/o:canonical:ubuntu_linux:25.10, cpe:/o:canonical:ubuntu_linux:24.04:-:lts, cpe:/o:canonical:ubuntu_linux:16.04:-:lts, p-cpe:/a:debian:debian_linux:mina, cpe:/o:canonical:ubuntu_linux:18.04:-:lts, p-cpe:/a:canonical:ubuntu_linux:mina, cpe:/o:canonical:ubuntu_linux:22.04:-:lts, p-cpe:/a:canonical:ubuntu_linux:mina2, cpe:/o:debian:debian_linux:12.0, cpe:/o:canonical:ubuntu_linux:26.04:-:lts

必需的 KB 项: Host/local_checks_enabled, Host/cpu, global_settings/vendor_unpatched, Host/OS/identifier

易利用性: No known exploits are available

漏洞发布日期: 2024/12/25

参考资料信息

CVE: CVE-2024-52046