Linux Distros 未修补的漏洞:CVE-2018-17187
high Nessus 插件 ID 252632
语言:
简介
Linux/Unix 主机上安装的一个或多个程序包存在漏洞,但供应商表示不会修补此漏洞。描述
Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响,而供应商没有提供补丁程序。- Apache Qpid Proton-J 传输包含执行 TLS 的可选封装程序层其可通过使用“transport.ssl(...)”方法启用。除非明确配置了验证模式否则客户端和服务器模式之前记录的会默认为不验证对等证书提供明确配置此选项的选项或选择执行或不执行主机名验证的证书验证模式。Apache Qpid Proton-J 版本 0.3 至 0.29.0中未实现后者主机名验证模式尝试使用会导致异常。此操作只留下了用于验证证书是否受信任的选项,使此类客户端容易受到中间人 (MITM) 攻击。未利用可选传输 TLS 封装的 Proton-J 协议引擎的使用不会受到影响例如
Qpid JMS 内的使用情况。使用利用可选传输 TLS wrapper 层的 Proton-J 若希望启用主机名验证则必须升级到 0.30.0 或更高版本并使用 VerifyMode#VERIFY_PEER_NAME 配置(现在是客户端模式使用的默认配置除非另有配置)。 (CVE-2018-17187)
请注意,Nessus 依赖供应商报告的程序包是否存在进行判断。
解决方案
目前尚未有任何已知的解决方案。另见
插件详情
严重性: High
ID: 252632
文件名: unpatched_CVE_2018_17187.nasl
版本: 1.1
类型: local
代理: unix
系列: Misc.
发布时间: 2025/8/20
最近更新时间: 2025/8/20
支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 5.2
CVSS v2
风险因素: Medium
基本分数: 5.8
时间分数: 4.3
矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:N
CVSS 分数来源: CVE-2018-17187
CVSS v3
风险因素: High
基本分数: 7.4
时间分数: 6.4
矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: cpe:/o:canonical:ubuntu_linux:18.04:-:lts, cpe:/o:canonical:ubuntu_linux:16.04:-:lts, p-cpe:/a:canonical:ubuntu_linux:qpid-proton
必需的 KB 项: Host/cpu, Host/local_checks_enabled, global_settings/vendor_unpatched, Host/OS/identifier
易利用性: No known exploits are available
漏洞发布日期: 2018/11/12
参考资料信息
CVE: CVE-2018-17187