检测

Linux Distros 未修补的漏洞:CVE-2024-52046

critical Nessus 插件 ID 248097

语言:

简介

Linux/Unix 主机上安装的一个或多个程序包存在漏洞,但供应商表示不会修补此漏洞。

描述

Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响,而供应商没有提供补丁程序。

 - Apache MINA 中的 ObjectSerializationDecoder 使用 Java 的本机反序列化协议来处理传入的序列化数据但缺少必要的安全检查和防御。此漏洞允许攻击者通过发送特制的恶意序列化数据来利用反序列化进程可能导致远程代码执行 (RCE) 攻击。此问题影响 MINA 核心版本 2.0.X、 2.1.X 和 2.2.X且将通过版本 2.0.27、 2.1.10 和 2.2.4修复。同样需要注意的是使用 MINA 核心库的应用程序仅在调用 IoBuffer#getObject() 方法时受到影响当在筛选器链中添加使用 ObjectSerializationCodecFactory 类的 ProtocolCodecFilter 实例时可能可能会调用此特定方法。如果您的应用程序专门使用这些类则必须升级到 MINA 核心库的最新版本。仅升级是不够的: 还需要使用以下三种新方法中的一种明确允许解码器在 ObjectSerializationDecoder 实例中接受的类/** * 接受提供的 ClassNameMatcher 与 * 反序列化匹配的类名称除非符合否则会遭到拒绝。 * * @param classNameMatcher the matcher to use */ public void accept(ClassNameMatcher classNameMatcher) /** * 接受与提供的反序列化模式匹配的类名称 * 除非以其他方式拒绝。 * * @param pattern standard Java regexp */ public void accept(Pattern pattern) /** * 接受通配符指定的类进行反序列化* 除非以其他方式被拒绝。 * * @param Patterns 中定义的通配符文件名模式 * {@link org.apache.commons.io.FilenameUtils#wildcardMatch(String, String) FilenameUtils.wildcardMatch} */ public void accept(String...patterns) 默认时解码器将拒绝所有将在传入数据中出现的类。注意:FtpServer、SSHd 和 Vysper 子项目不受此问题的影响。
 (CVE-2024-52046)

请注意,Nessus 依赖供应商报告的程序包是否存在进行判断。

解决方案

目前尚未有任何已知的解决方案。

另见

https://security-tracker.debian.org/tracker/CVE-2024-52046

https://ubuntu.com/security/CVE-2024-52046

插件详情

严重性: Critical

ID: 248097

文件名: unpatched_CVE_2024_52046.nasl

版本: 1.1

类型: local

代理: unix

系列: Misc.

发布时间: 2025/8/11

最近更新时间: 2025/8/11

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

风险信息

VPR

风险因素: High

分数: 7.4

CVSS v2

风险因素: High

基本分数: 7.5

时间分数: 5.5

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 分数来源: CVE-2024-52046

CVSS v3

风险因素: Critical

基本分数: 9.8

时间分数: 8.5

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:debian:debian_linux:mina, cpe:/o:debian:debian_linux:11.0, cpe:/o:canonical:ubuntu_linux:16.04:-:lts, cpe:/o:canonical:ubuntu_linux:22.04:-:lts, cpe:/o:canonical:ubuntu_linux:24.04:-:lts, p-cpe:/a:canonical:ubuntu_linux:mina, cpe:/o:canonical:ubuntu_linux:25.04, cpe:/o:canonical:ubuntu_linux:18.04:-:lts, p-cpe:/a:debian:debian_linux:mina2, p-cpe:/a:canonical:ubuntu_linux:mina2, cpe:/o:canonical:ubuntu_linux:20.04:-:lts, cpe:/o:debian:debian_linux:12.0

必需的 KB 项: Host/local_checks_enabled, Host/cpu, global_settings/vendor_unpatched, Host/OS/identifier

易利用性: No known exploits are available

漏洞发布日期: 2024/12/25

参考资料信息

CVE: CVE-2024-52046