Linux Distros 未修补的漏洞:CVE-2024-31144
low Nessus 插件 ID 262026
语言:
简介
Linux/Unix 主机上安装的一个或多个程序包存在漏洞,但供应商表示不会修补此漏洞。描述
Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响,而供应商没有提供补丁程序。- 有关 Xapi 术语的简要摘要请参阅 https://xapi-project.github.io/xen-api/overview.html#object-model-overview Xapi 包含备份和还原有关虚拟机和存储库 (SR) 的元数据的功能。元数据本身存储在 SR 内的虚拟磁盘映像 (VDI) 中。其有两个用途:元数据的一般备份(例如,在文件管理器仍然良好的情况下从主机故障中恢复)和 可移植 SR(例如,使用外部硬盘将 VM 移动到另一个主机)。元数据仅作为明确的管理员操作进行还原但会在主机没有 SR 信息的情况下发生并且必须找到元数据 VDI 才能检索元数据。通过搜索(按 UUID 字母数字顺序)每个 VDI、挂载然后查看是否存在合适的元数据文件,可定位元数据 VDI。第一个匹配的 VDI 被视为元数据 VDI并从其还原。一般情况下,VDI 的内容由 VM 所有者控制,因此主机管理员不应信任这些内容。恶意访客可操纵其磁盘,使之看起来像一个元数据备份磁盘。客户机无法选择其 VDI 的 UUID但拥有一个磁盘的客户机有 50% 的机会排序在合法的元数据备份之前。具有两个磁盘的客户机有 75% 的机会等(CVE-2024-31144
请注意,Nessus 依赖供应商报告的程序包是否存在进行判断。
解决方案
目前尚未有任何已知的解决方案。另见
插件详情
严重性: Low
ID: 262026
文件名: unpatched_CVE_2024_31144.nasl
版本: 1.1
类型: local
代理: unix
系列: Misc.
发布时间: 2025/9/10
最近更新时间: 2025/9/10
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
风险信息
VPR
风险因素: Low
分数: 1.6
CVSS v2
风险因素: Low
基本分数: 1.5
时间分数: 1.1
矢量: CVSS2#AV:L/AC:M/Au:S/C:P/I:N/A:N
CVSS 分数来源: CVE-2024-31144
CVSS v3
风险因素: Low
基本分数: 3.8
时间分数: 3.3
矢量: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:L/I:N/A:N
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: cpe:/o:canonical:ubuntu_linux:24.04:-:lts, cpe:/o:canonical:ubuntu_linux:16.04:-:lts, cpe:/o:canonical:ubuntu_linux:22.04:-:lts, cpe:/o:canonical:ubuntu_linux:25.04, cpe:/o:canonical:ubuntu_linux:18.04:-:lts, p-cpe:/a:canonical:ubuntu_linux:xen, cpe:/o:canonical:ubuntu_linux:20.04:-:lts
必需的 KB 项: Host/local_checks_enabled, Host/cpu, global_settings/vendor_unpatched, Host/OS/identifier
易利用性: No known exploits are available
漏洞发布日期: 2024/7/18
参考资料信息
CVE: CVE-2024-31144