Linux Distros 未修补的漏洞:CVE-2023-39950
medium Nessus 插件 ID 251082
语言:
简介
Linux/Unix 主机上安装的一个或多个程序包存在漏洞,但供应商表示不会修补此漏洞。描述
Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响,而供应商没有提供补丁程序。- efibootguard 是一款简单的 UEFI 引导加载程序支持在当前分区集与更新后的分区集之间安全切换。对来自不可信的 bootloader 环境文件的输入进行不充分或缺少的验证和审查可造成崩溃还可能造成代码注入“bg_setenv”或使用“libebgenv”的程序。当受影响的组件尝试修改受操纵的环境尤其是其用户变量时会触发。此外“bg_printenv”可能会因无效的读取访问而崩溃或报告无效的结果。EFI Boot Guard 的 bootloader EFI 二进制文件不受此问题的影响。EFI Boot Guard 版本 v0.15 包含在用户空间中处理引导加载程序环境之前对其进行审查和验证所需的修补程序。应更新其库和工具以及与其静态链接的程序。不需要更新 bootloader EFI 可执行文件。防止未修复的 EFI Boot Guard 版本出现此问题的唯一方法是避免访问用户变量,特别是修改它们。 (CVE-2023-39950)
请注意,Nessus 依赖供应商报告的程序包是否存在进行判断。
解决方案
目前尚未有任何已知的解决方案。另见
插件详情
严重性: Medium
ID: 251082
文件名: unpatched_CVE_2023_39950.nasl
版本: 1.1
类型: local
代理: unix
系列: Misc.
发布时间: 2025/8/18
最近更新时间: 2025/8/18
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 5.0
CVSS v2
风险因素: High
基本分数: 8.5
时间分数: 6.3
矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:C/A:P
CVSS 分数来源: CVE-2023-39950
CVSS v3
风险因素: Medium
基本分数: 5.2
时间分数: 4.5
矢量: CVSS:3.0/AV:P/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:L
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: p-cpe:/a:canonical:ubuntu_linux:efibootguard, cpe:/o:canonical:ubuntu_linux:24.04:-:lts, cpe:/o:canonical:ubuntu_linux:25.04
必需的 KB 项: Host/local_checks_enabled, Host/cpu, global_settings/vendor_unpatched, Host/OS/identifier
易利用性: No known exploits are available
漏洞发布日期: 2023/8/14
参考资料信息
CVE: CVE-2023-39950