检测

Linux Distros 未修补的漏洞:CVE-2025-13353

high Nessus 插件 ID 277090

语言:

简介

Linux/Unix 主机上安装的一个或多个程序包存在漏洞,但供应商表示不会修补此漏洞。

描述

Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响,而供应商没有提供补丁程序。

 - 在低于0.2.0的gokey 版本中种子解密逻辑中的一个缺陷导致错误地仅从密钥种子的初始向量和 AES-GCM 认证标签中派生密码。此问题已在 gokey 版本 0.2.0中修复。这是重大变更。此补丁已使从种子文件使用 -s 选项中派生的任何密码/机密失效。即使输入种子文件保持不变 0.2.0 gokey 版本也将生成不同的密码。影响 此漏洞会影响将种子文件用作熵输入使用 -s 选项时生成的密钥/密码。仅从主密码(不带 -s 选项)生成的密钥/密码不受影响。种子本身的机密性也不会受到影响不需要本身重新生成种子。具体影响包括
 * 从种子文件生成的密钥/密码可能具有较低的熵预计整个种子将用于生成密钥240 字节的熵输入其中在易受攻击版本中仅使用 28 字节 * 恶意实体可能恢复了从只拥有种子文件而不知道种子主密码的特定种子生成的所有密码 修补程序代码逻辑缺陷已在 gokey 版本 0.2.0 及更高版本中修复。由于 gokey 的确定性本质修复后的版本将使用种子文件产生不同的密码/密码因为现在将使用所有种子熵。
 系统密钥轮换指导建议用户使用 gokey0.2.0 及更高版本的修补版本重新生成密码/密钥并将这些密钥配置/轮换到相应的系统中以代替旧密钥。特定的轮转程序因系统而异,但最常见的模式如下所述。不需要旧密码/密码进行轮换的系统 此类系统通常具有“忘记密码”设施或允许用户通过向用户的电子邮件或电话发送唯一的 magic 链接来轮换其密码/密码的设施。在此类情况下,建议用户使用此设施,并在系统提示时输入新生成的密码。要求旧密码/密码进行轮换的系统 此类系统在“用户设置”部分通常会有一个模式密码轮换窗口要求用户输入新旧密码有时并进行确认。若要在此类情况下生成/恢复旧密码建议用户* 临时下载适用于各自操作系统的 0.1.3 https://github.com/cloudflare/gokey/releases/tag/v0.1.3 版 gokey 以恢复旧密码 * 使用 0.2.0 版或更高版本的 gokey 生成新密码 * 填充提供的系统密码轮换格式 允许为同一帐户配置多种凭据的系统 此类系统通常需要密钥或加密密钥作为访问凭据,但允许同时使用多个凭据。SSH 就是一个示例:特定用户可能在 SSH 服务器上配置了多个授权公钥以进行访问。对于此类系统建议用户* 使用 gokey 0.2.0 或更高版本生成新的密钥/密钥/凭据 * 除了系统中现有的凭据配置新的密钥/密钥/凭据 * 验证您的访问权限或所需的系统仍可使用新的 secret/key/credential 进行操作 * 从系统信用中撤消对现有/旧凭据的授权此漏洞由 Tho Cusnir ( @mister_mime https://hackerone.com/mister_mime ) 发现并通过 Cloudflare 的缺陷悬金计划负责地披露。 (CVE-2025-13353)

请注意,Nessus 依赖供应商报告的程序包是否存在进行判断。

解决方案

目前尚未有任何已知的解决方案。

另见

https://security-tracker.debian.org/tracker/CVE-2025-13353

https://ubuntu.com/security/CVE-2025-13353

插件详情

严重性: High

ID: 277090

文件名: unpatched_CVE_2025_13353.nasl

版本: 1.2

类型: local

代理: unix

系列: Misc.

发布时间: 2025/12/3

最近更新时间: 2025/12/4

支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.1

CVSS v2

风险因素: Medium

基本分数: 4

时间分数: 3.4

矢量: CVSS2#AV:N/AC:L/Au:S/C:P/I:N/A:N

CVSS 分数来源: CVE-2025-13353

CVSS v3

风险因素: Medium

基本分数: 5.3

时间分数: 4.9

矢量: CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N

时间矢量: CVSS:3.0/E:U/RL:U/RC:C

CVSS v4

风险因素: High

Base Score: 7.1

Threat Score: 4

Threat Vector: CVSS:4.0/E:U

Vector: CVSS:4.0/AV:L/AC:L/AT:P/PR:L/UI:N/VC:H/VI:N/VA:N/SC:H/SI:H/SA:H

漏洞信息

CPE: cpe:/o:debian:debian_linux:14.0, cpe:/o:canonical:ubuntu_linux:24.04:-:lts, cpe:/o:debian:debian_linux:11.0, p-cpe:/a:debian:debian_linux:gokey, p-cpe:/a:canonical:ubuntu_linux:gokey, cpe:/o:canonical:ubuntu_linux:22.04:-:lts, cpe:/o:canonical:ubuntu_linux:25.10, cpe:/o:debian:debian_linux:13.0, cpe:/o:canonical:ubuntu_linux:25.04, cpe:/o:canonical:ubuntu_linux:20.04:-:lts, cpe:/o:debian:debian_linux:12.0

必需的 KB 项: Host/cpu, Host/local_checks_enabled, global_settings/vendor_unpatched, Host/OS/identifier

易利用性: No known exploits are available

漏洞发布日期: 2025/12/2

参考资料信息

CVE: CVE-2025-13353