MagicLinux 9toolbox-0.0.99.3-10.el9 (AXSA:2023-6548:02)
medium Nessus 插件 ID 292297
语言:
简介
远程iraclelinux 主机缺少一个或多个安全更新。描述
远程iraclelinux 9 主机上存在安装的程序包该程序包受到 AXSA:2023-6548:02 公告中提及的多个漏洞的影响。rhel9/toolbox 容器映像可与 Toolbox 搭配使用以获得基于 RHEL 的容器化命令行环境以协助开发和软件测试。Toolbox 基于 OCI 的 Podman 和其他标准容器技术构建。
此更新 Cybertrust JAPAN Co., Ltd. 容器注册表中的 rhel9/toolbox 图像。
要拉取此容器图像,请运行下列命令之一:
podman pull registry.redhat.io/rhel9/toolbox经过认证 podman pull registry.access.redhat.com/ubi9/toolbox未经认证 CVE-2023-39325 恶意的 HTTP/2 客户端快速创建请求并立即重置请求可能会造成服务器过多资源消耗。虽然请求总数受到 http2.Server.MaxConcurrentStreams 设置的限制,但重置正在进行的请求允许攻击者在现有请求仍在执行时创建新请求。应用修复程序后,HTTP/2 服务器现在会将同时执行的处理程序 goroutine 的数量绑定到流并发限制 (MaxConcurrentStreams)。达到限制时到达的新请求(这只能在客户端重置目前正在进行的请求之后发生)将排入队列,直到处理程序退出。如果请求队列变得太大,服务器将终止连接。对于手动配置 HTTP/2 的用户,golang.org/x/net/http2 中也修复了此问题。默认的流并发限制为每个 HTTP/2 连接 250 个流(请求)。可使用 golang.org/x/net/http2 程序包调整此值请参阅“Server.MaxConcurrentStreams 设置”和“ConfigureServer 函数”。
CVE-2023-44487 HTTP/2 协议允许拒绝服务服务器资源消耗因为请求取消可以快速重置许多流这一点在 2023 年 8 月到 10 月的通常环境中会遭到利用。
Tenable 已直接从MiracleLinux 安全公告中提取上述描述块。
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
更新受影响的 toolbox 和/或 toolbox-tests 程序包。另见
插件详情
严重性: Medium
ID: 292297
文件名: miracle_linux_AXSA-2023-6548.nasl
版本: 1.2
类型: local
发布时间: 2026/1/20
最近更新时间: 2026/1/20
支持的传感器: Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 6.9
Vendor
Vendor Severity: Moderate
CVSS v2
风险因素: High
基本分数: 7.8
时间分数: 6.4
矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C
CVSS 分数来源: CVE-2023-44487
CVSS v3
风险因素: High
基本分数: 7.5
时间分数: 7
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
时间矢量: CVSS:3.0/E:F/RL:O/RC:C
CVSS v4
风险因素: Medium
Base Score: 6.9
Threat Score: 6.9
Threat Vector: CVSS:4.0/E:A
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N
漏洞信息
CPE: p-cpe:/a:miracle:linux:toolbox, p-cpe:/a:miracle:linux:toolbox-tests, cpe:/o:miracle:linux:9
必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list
可利用: true
易利用性: Exploits are available
补丁发布日期: 2023/10/26
漏洞发布日期: 2023/10/10
CISA 已知可遭利用的漏洞到期日期: 2023/10/31
参考资料信息
CVE: CVE-2023-39325, CVE-2023-44487
IAVB: 2023-B-0080-S