Linux Distros 未修补的漏洞:CVE-2025-32441
medium Nessus 插件 ID 252898
语言:
简介
Linux/Unix 主机上安装的一个或多个程序包存在漏洞,但供应商表示不会修补此漏洞。描述
Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响,而供应商没有提供补丁程序。- Rack 是模块化的 Ruby Web 服务器接口。在低于版本 2.2.14的情况下使用 `Rack::Session::Pool` 中间件时并发 rack 请求可还原已删除的 rack 会话这允许未经身份验证的用户占用该会话。Rack 会话中间件在开始请求时准备会话,然后将其连同主机 rack 应用程序应用的可能更改保存回存储区。这样,会话就可能成为并发 rack 请求中一般意义的争用条件。
使用 Rack::Session::Pool 中间件时,如果攻击者能够获取会话 cookie这已经是一个重大问题,并且攻击者能够触发长时间运行请求(在同一个会话内),则可能会还原会话以便在用户尝试注销后仍保留非法访问权限。2.2.14 版包含针对该问题的补丁。还提供了一些其他缓解措施。确保应用程序通过将会话标记为已注销例如使用“logged_out”标记自动使会话无效而不是删除会话并在每个请求中检查此标记以防止重用或 实现一个跟踪会话失效时间戳的自定义会话存储并在会话在请求开始后失效的情况下拒绝接受会话数据。 (CVE-2025-32441)
请注意,Nessus 依赖供应商报告的程序包是否存在进行判断。
解决方案
目前尚未有任何已知的解决方案。另见
插件详情
严重性: Medium
ID: 252898
文件名: unpatched_CVE_2025_32441.nasl
版本: 1.1
类型: local
代理: unix
系列: Misc.
发布时间: 2025/8/20
最近更新时间: 2025/8/20
支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
风险信息
VPR
风险因素: Low
分数: 2.5
CVSS v2
风险因素: Medium
基本分数: 5.8
时间分数: 4.3
矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:N
CVSS 分数来源: CVE-2025-32441
CVSS v3
风险因素: Medium
基本分数: 4.2
时间分数: 3.7
矢量: CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: cpe:/o:debian:debian_linux:11.0, p-cpe:/a:canonical:ubuntu_linux:ruby-rack, cpe:/o:canonical:ubuntu_linux:22.04:-:lts, cpe:/o:debian:debian_linux:12.0, p-cpe:/a:debian:debian_linux:ruby-rack
必需的 KB 项: Host/cpu, Host/local_checks_enabled, global_settings/vendor_unpatched, Host/OS/identifier
易利用性: No known exploits are available
漏洞发布日期: 2025/5/1
参考资料信息
CVE: CVE-2025-32441