Linux Distros 未修补的漏洞:CVE-2020-29480
low Nessus 插件 ID 259117
语言:
简介
Linux/Unix 主机上安装的一个或多个程序包存在漏洞,但供应商表示不会修补此漏洞。描述
Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响,而供应商没有提供补丁程序。- 在 4.14.x 及之前的 Xen 中发现一个问题。xenstore 实现不会在报告 xenstore 监视事件时执行任何权限检查。客户机管理员可监视根 xenstored 节点,这样将可在每次创建、修改和删除密钥时发出通知。客户机管理员还可以使用特殊监视工具,这样将可在每次创建和破坏域时发出通知。数据可能包括:其他 VM 的数量、类型和 domid驱动程序域的存在性和 domid虚拟接口、块设备、vcpus 的数量;是否存在虚拟帧缓冲区及其后端样式例如是否存在 VNC 服务其他域的 Xen VM UUID有关域创建和设备设置的时序信息;以及 VM 及其设备的后端配置中的一些提示。监视工具事件不包含 xenstore 中存储的值,仅包含密钥名称。客户机管理员可以观察到与其他客户机有关的非敏感域和设备生命周期事件。此类信息便于您深入了解整体系统配置(包括其他客户机的数量和一般性质),以及其他客户机的配置(包括其他客户机设备的数量和一般性质)。此类信息可能会用于商业用途,或可使其他攻击变得更容易。我们相信,敏感数据不会泄露。具体而言,我们不会泄露 VNC 密码、端口号、主机及客户机文件系统中的路径名、加密密钥或客户机内部数据。(CVE-2020-29480)
请注意,Nessus 依赖供应商报告的程序包是否存在进行判断。
解决方案
目前尚未有任何已知的解决方案。另见
插件详情
严重性: Low
ID: 259117
文件名: unpatched_CVE_2020_29480.nasl
版本: 1.1
类型: local
代理: unix
系列: Misc.
发布时间: 2025/8/30
最近更新时间: 2025/8/30
支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
风险信息
VPR
风险因素: Low
分数: 2.2
CVSS v2
风险因素: Low
基本分数: 2.1
时间分数: 1.6
矢量: CVSS2#AV:L/AC:L/Au:N/C:P/I:N/A:N
CVSS 分数来源: CVE-2020-29480
CVSS v3
风险因素: Low
基本分数: 2.3
时间分数: 2
矢量: CVSS:3.0/AV:L/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:N
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: cpe:/o:canonical:ubuntu_linux:16.04:-:lts, p-cpe:/a:canonical:ubuntu_linux:xen, cpe:/o:canonical:ubuntu_linux:18.04:-:lts, cpe:/o:canonical:ubuntu_linux:20.04:-:lts
必需的 KB 项: Host/cpu, Host/local_checks_enabled, global_settings/vendor_unpatched, Host/OS/identifier
易利用性: No known exploits are available
漏洞发布日期: 2020/12/15
参考资料信息
CVE: CVE-2020-29480