检测

Azure Linux 3.0 安全更新gh (CVE-2024-53859)

high Nessus 插件 ID 296068

语言:

简介

远程 Azure Linux 主机缺少一个或多个安全更新。

描述

远程 Azure Linux 3.0 主机上安装的 gh 版本低于 测试的 版本。因此,它受到 CVE-2024-53859 公告中提及的一个漏洞影响。

 - go-gh 是一个 Go 模块用于从命令行与“gh”实用工具和 GitHub API 交互。在“go-gh”中发现一个安全漏洞其可在代码空间内将原本供 GitHub 主机使用的身份验证标记泄漏至非 GitHub 主机。根据涉及的主机,“go-gh”从不同的环境变量中获取身份验证令牌:1. 针对 GitHub.com 和 ghe.com 的“GITHUB_TOKEN”、“GH_TOKEN”2. 针对 GitHub Enterprise Server 的“GITHUB_ENTERPRISE_TOKEN”、“GH_ENTERPRISE_TOKEN”。在低于版本2.11.1的情况下在 codespace 中“auth.TokenForHost”可能从主机而非 GitHub.com 或 ghe.com 的“GITHUB_TOKEN”环境变量中获取标记。在版本“2.11.1”中“auth.TokenForHost”将仅从 GitHub.com 或 ghe.com 主机的“GITHUB_TOKEN”环境变量中寻找令牌。成功利用此漏洞可能会向非预期主机发送身份验证标记。此问题已在 2.11.1 版本中解决,建议所有用户升级。还建议用户重新生成身份验证令牌并检查其个人安全日志和任何与其帐户或企业关联的操作的相关审核日志。 (CVE-2024-53859)

请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的程序包。

另见

https://nvd.nist.gov/vuln/detail/CVE-2024-53859

插件详情

严重性: High

ID: 296068

文件名: azure_linux_CVE-2024-53859.nasl

版本: 1.1

类型: local

发布时间: 2026/1/22

最近更新时间: 2026/1/22

支持的传感器: Nessus

风险信息

VPR

风险因素: Medium

分数: 4.4

CVSS v2

风险因素: High

基本分数: 7.8

时间分数: 5.8

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:N/A:N

CVSS 分数来源: CVE-2024-53859

CVSS v3

风险因素: High

基本分数: 7.5

时间分数: 6.5

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:microsoft:azure_linux:gh, x-cpe:/o:microsoft:azure_linux

必需的 KB 项: Host/local_checks_enabled, Host/AzureLinux/release, Host/AzureLinux/rpm-list, Host/cpu

易利用性: No known exploits are available

补丁发布日期: 2025/3/11

漏洞发布日期: 2024/11/27

参考资料信息

CVE: CVE-2024-53859