Linux Distros 未修补的漏洞:CVE-2021-32751
high Nessus 插件 ID 257718
语言:
简介
Linux/Unix 主机上安装的一个或多个程序包存在漏洞,但供应商表示不会修补此漏洞。描述
Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响,而供应商没有提供补丁程序。- Gradle 是一款专注于构建自动化的构建工具。在 7.2之前的版本中当攻击者能够变更运行脚本的用户的环境变量时“application”插件生成的启动脚本和“gradlew”脚本都容易受到任意代码执行的影响。这可能会影响在类 Unix 系统上使用“gradlew”的用户或在类 Unix 系统上使用其应用程序中 Gradle 生成脚本的用户。要利用此漏洞攻击者需要能够设置特定环境变量的值并且让易受攻击的脚本识别这些环境变量。已在 Gradle 7.2 中修补此问题通过删除使用“eval”并要求使用“bash”shell。有一些变通方案可用。对于使用 Gradle 构建工具的 CI/CD 系统可确保不受信任的用户无法更改执行“gradlew”的用户的环境变量。如果无法升级到 Gradle 7.2可能会通过 Gradle 生成新的 `gradlew` 脚本 7.2 并将其用于较旧版本的 Gradle。Fppplications 使用 Gradle 生成的启动脚本时可以确保不受信任的用户无法更改执行启动脚本的用户的环境变量。可手动修补易受攻击的启动脚本以删除使用“eval”或使用影响应用程序命令行的环境变量。如果应用程序足够简单则可通过直接使用 Java 命令运行应用程序来避免使用启动脚本。 (CVE-2021-32751)
请注意,Nessus 依赖供应商报告的程序包是否存在进行判断。
解决方案
目前尚未有任何已知的解决方案。另见
插件详情
严重性: High
ID: 257718
文件名: unpatched_CVE_2021_32751.nasl
版本: 1.1
类型: local
代理: unix
系列: Misc.
发布时间: 2025/8/27
最近更新时间: 2025/8/27
支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 6.7
CVSS v2
风险因素: High
基本分数: 8.5
时间分数: 6.7
矢量: CVSS2#AV:N/AC:M/Au:S/C:C/I:C/A:C
CVSS 分数来源: CVE-2021-32751
CVSS v3
风险因素: High
基本分数: 7.5
时间分数: 6.7
矢量: CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
漏洞信息
CPE: cpe:/o:debian:debian_linux:11.0, cpe:/o:debian:debian_linux:14.0, cpe:/o:canonical:ubuntu_linux:24.04:-:lts, cpe:/o:canonical:ubuntu_linux:16.04:-:lts, p-cpe:/a:debian:debian_linux:gradle, cpe:/o:canonical:ubuntu_linux:22.04:-:lts, p-cpe:/a:canonical:ubuntu_linux:gradle, cpe:/o:debian:debian_linux:13.0, cpe:/o:canonical:ubuntu_linux:25.04, cpe:/o:canonical:ubuntu_linux:18.04:-:lts, cpe:/o:canonical:ubuntu_linux:20.04:-:lts, cpe:/o:debian:debian_linux:12.0
必需的 KB 项: Host/cpu, Host/local_checks_enabled, global_settings/vendor_unpatched, Host/OS/identifier
可利用: true
易利用性: Exploits are available
漏洞发布日期: 2021/7/20
参考资料信息
CVE: CVE-2021-32751