Linux Distros 未修补的漏洞:CVE-2022-31163
high Nessus 插件 ID 258945
语言:
简介
Linux/Unix 主机上安装的一个或多个程序包存在漏洞,但供应商表示不会修补此漏洞。描述
Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响,而供应商没有提供补丁程序。- TZInfo 是一个 Ruby 库,可提供对时区数据的访问权限,并允许使用时区规则转换时间。0.36.1 之前的版本以及 1.2.10 之前的版本与 Ruby 数据源 tzinfo-data 一起使用时,容易受到相对路径遍历的影响。有 Ruby 数据源时,时区在 Ruby 文件中定义。每个时区有一个文件。时区文件按需加载“require”。在受影响的版本中“TZInfo::Timezone.get”无法正确验证时区标识符从而允许标识符中存在新行字符。通过 Ruby 版本 1.9.3 及更高版本“TZInfo::Timezone.get”可通过“require”加载非预期文件从而在 Ruby 进程内执行这些文件。0.3.61 和 1.2.10 版包含可正确验证时区标识符的补丁。版本 2.0.0 和后续版本均不容易受到影响。如果文件名遵循有效时区标识符的规则,并且任意文件在加载路径的某个目录中具有“tzinfo/definition”前缀,则版本 0.3.61 仍可从 Ruby 加载路径加载这些文件。应用程序应确保未将不受信任的文件放置在加载路径上的目录中。变通方案可以通过确保其匹配正则表达式“\A[A-Za-z0-9+\-_]+(?:\ /[A-Za-z0-9+\-_]+)*\z`. (CVE-2022-31163)
请注意,Nessus 依赖供应商报告的程序包是否存在进行判断。
解决方案
目前尚未有任何已知的解决方案。另见
插件详情
严重性: High
ID: 258945
文件名: unpatched_CVE_2022_31163.nasl
版本: 1.1
类型: local
代理: unix
系列: Misc.
发布时间: 2025/8/30
最近更新时间: 2025/8/30
支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 6.7
CVSS v2
风险因素: High
基本分数: 7.5
时间分数: 5.9
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS 分数来源: CVE-2022-31163
CVSS v3
风险因素: High
基本分数: 8.1
时间分数: 7.3
矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
漏洞信息
CPE: cpe:/o:canonical:ubuntu_linux:16.04:-:lts, cpe:/o:canonical:ubuntu_linux:22.04:-:lts, cpe:/o:canonical:ubuntu_linux:24.04:-:lts, cpe:/o:canonical:ubuntu_linux:25.04, cpe:/o:canonical:ubuntu_linux:18.04:-:lts, p-cpe:/a:canonical:ubuntu_linux:ruby-tzinfo, cpe:/o:canonical:ubuntu_linux:20.04:-:lts
必需的 KB 项: Host/cpu, Host/local_checks_enabled, global_settings/vendor_unpatched, Host/OS/identifier
可利用: true
易利用性: Exploits are available
漏洞发布日期: 2022/7/21
参考资料信息
CVE: CVE-2022-31163