The remote Fedora 37 host has a package installed that is affected by a vulnerability as referenced in the FEDORA-2023-34411d8f77 advisory.

    fix for CVE-2023-36811: spoofed archive leads to data loss

    Please note that starting with borgbackup 1.2.5 all borg repos must use TAM authentication:
    https://github.com/borgbackup/borg/blob/1.2.6/docs/changes.rst#pre-125-archives-spoofing-vulnerability-     cve-2023-36811

Tenable has extracted the preceding description block directly from the Fedora security advisory.

Note that Nessus has not tested for this issue but has instead relied only on the application's self-reported version number.

リモートの Fedora 37 ホストには、FEDORA-2023-34411d8f77 のアドバイザリに記載された脆弱性の影響を受けるパッケージがインストールされています。

  - borgbackup は、圧縮および認証された暗号化を備えたオープンソースの重複排除アーカイバーです。borgbackup の暗号化認証スキームの欠陥により、攻撃者がアーカイブを偽装し、リポジトリ内のバックアップデータの損失を間接的に引き起こす可能性がありました。この攻撃では、攻撃者が以下のことを行えなければなりません。1. ファイルを (追加のヘッダーなしで) バックアップに挿入する。2. リポジトリへの書き込みアクセスを取得する。この脆弱性は、平文を攻撃者に漏洩するものではなく、既存のアーカイブの信頼性に影響するものでもありません。妥当な偽のアーカイブの作成は、空のアーカイブや小規模なアーカイブでは実行可能ですが、大規模なアーカイブでは実行される可能性が低くなります。この問題は borgbackup 1.2.5 で修正されています。ユーザーはアップグレードすることをお勧めします。ユーザーは修正済みのコードをインストールすることに加えて、変更ログに記載されているアップグレード手順に従う必要があります。攻撃を受けた後のデータの損失は、borg check --repair の後と borg prune の前にアーカイブ (タイムスタンプとコンテンツが有効であり、期待通り) をレビューすることで回避できます。
    この脆弱性に対する既知の回避策はありません。(CVE-2023-36811)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

Linux/Unix 主機上安裝了一個或多個受到弱點影響的套件，且供應商未提供可用的修補程式。

  - borgbackup 是開放原始碼的重複資料刪除封存器具備壓縮功能和經驗證的加密功能。borgbackup 中的密碼編譯驗證配置有一個缺陷可讓攻擊者偽造封存並可能間接造成存放庫中的備份資料遺失。若要發動此攻擊攻擊者必須能夠1. 將檔案 (不含額外標頭) 插入備份以及 2. 取得存放庫的寫入權限。此弱點不會向攻擊者洩漏純文字也不會影響現有封存的真實性。針對空白或小型封存建立合理的假封存可能是可行的但對大型封存而言不太可能。此問題已在 borgbackup 1.2.5中修正。建議所有使用者進行升級。除了安裝修正版程式碼使用者還必須遵循變更記錄中記錄的升級程序。在任何 borg check --repair 之後且 borg prune 之前若要檢閱封存 (時間戳記和內容有效且如預期)可避免受到攻擊後的資料遺失。
    目前沒有任何因應措施可解決此弱點。(CVE-2023-36811)

請注意，Nessus 依賴供應商報告的套件存在。

Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - borgbackup 是一款开源重复数据删除存档程序包含压缩和认证加密功能。borgbackup 中加密认证方案中的缺陷允许攻击者伪造存档并可能间接造成存储库中的备份数据丢失。此攻击要求攻击者能够: 1. 将文件插入不带额外标头的备份中并且 2. 获得对存储库的写入权限。此漏洞不会向攻击者泄露明文，也不会对现有存档的真实性造成影响。创建可信的假存档可能适用于空存档或小型存档，但适用于大型存档则不太可能。已在 borgbackup 中修复此问题 1.2.5。建议用户升级。除了安装修复的代码之外用户还必须遵循变更日志中记录的升级程序。通过在任何 borg 检查之后 --repair 之后且在 borg 删除之前检查存档时间戳和内容有效且符合预期可以避免遭到攻击之后的数据丢失。
    目前尚无针对此漏洞的变通方案。(CVE-2023-36811)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - borgbackup は、圧縮および認証された暗号化を備えたオープンソースの重複排除アーカイバーです。borgbackup の暗号化認証スキームの欠陥により、攻撃者がアーカイブを偽装し、リポジトリ内のバックアップデータの損失を間接的に引き起こす可能性がありました。攻撃者が次の操作を実行できる必要があります。 1. ファイル (追加ヘッダーなし) をバックアップに挿入する (2. リポジトリへの書き込みアクセスを取得する) この脆弱性は、平文を攻撃者に漏洩するものではなく、既存のアーカイブの信頼性に影響するものでもありません。妥当な偽のアーカイブの作成は、空のアーカイブや小規模なアーカイブでは実行可能ですが、大規模なアーカイブでは実行される可能性が低くなります。この問題は borgbackup 1.2.5 で修正されています。ユーザーはアップグレードすることをお勧めします。ユーザーは修正済みのコードをインストールすることに加えて、変更ログに記載されているアップグレード手順に従う必要があります。攻撃を受けた後のデータの損失は、borg check --repair の後と borg prune の前にアーカイブ (タイムスタンプとコンテンツが有効であり、期待通り) をレビューすることで回避できます。
    この脆弱性に対する既知の回避策はありません。(CVE-2023-36811)

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

リモートの Fedora 38 ホストには、FEDORA-2023-555f9fac30 のアドバイザリに記載された脆弱性の影響を受けるパッケージがインストールされています。

  - borgbackup は、圧縮および認証された暗号化を備えたオープンソースの重複排除アーカイバーです。borgbackup の暗号化認証スキームの欠陥により、攻撃者がアーカイブを偽装し、リポジトリ内のバックアップデータの損失を間接的に引き起こす可能性がありました。この攻撃では、攻撃者が以下のことを行えなければなりません。1. ファイルを (追加のヘッダーなしで) バックアップに挿入する。2. リポジトリへの書き込みアクセスを取得する。この脆弱性は、平文を攻撃者に漏洩するものではなく、既存のアーカイブの信頼性に影響するものでもありません。妥当な偽のアーカイブの作成は、空のアーカイブや小規模なアーカイブでは実行可能ですが、大規模なアーカイブでは実行される可能性が低くなります。この問題は borgbackup 1.2.5 で修正されています。ユーザーはアップグレードすることをお勧めします。ユーザーは修正済みのコードをインストールすることに加えて、変更ログに記載されているアップグレード手順に従う必要があります。攻撃を受けた後のデータの損失は、borg check --repair の後と borg prune の前にアーカイブ (タイムスタンプとコンテンツが有効であり、期待通り) をレビューすることで回避できます。
    この脆弱性に対する既知の回避策はありません。(CVE-2023-36811)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

The version of FreeBSD installed on the remote host is prior to tested version. It is, therefore, affected by a vulnerability as referenced in the b8a52e5a-483d-11ee-971d-3df00e0f9020 advisory.

  - borgbackup is an opensource, deduplicating archiver with compression and authenticated encryption. A flaw     in the cryptographic authentication scheme in borgbackup allowed an attacker to fake archives and     potentially indirectly cause backup data loss in the repository. The attack requires an attacker to be     able to: 1. insert files (with no additional headers) into backups and 2. gain write access to the     repository. This vulnerability does not disclose plaintext to the attacker, nor does it affect the     authenticity of existing archives. Creating plausible fake archives may be feasible for empty or small     archives, but is unlikely for large archives. The issue has been fixed in borgbackup 1.2.5. Users are     advised to upgrade. Additionally to installing the fixed code, users must follow the upgrade procedure as     documented in the change log. Data loss after being attacked can be avoided by reviewing the archives     (timestamp and contents valid and as expected) after any borg check --repair and before borg prune.
    There are no known workarounds for this vulnerability. (CVE-2023-36811)

Note that Nessus has not tested for this issue but has instead relied only on the application's self-reported version number.

The remote Fedora 39 host has a package installed that is affected by a vulnerability as referenced in the FEDORA-2023-467632ecbe advisory.

    fix for CVE-2023-36811: spoofed archive leads to data loss

    Please note that starting with borgbackup 1.2.5 all borg repos must use TAM authentication:
    https://github.com/borgbackup/borg/blob/1.2.6/docs/changes.rst#pre-125-archives-spoofing-vulnerability-     cve-2023-36811

Tenable has extracted the preceding description block directly from the Fedora security advisory.

Note that Nessus has not tested for this issue but has instead relied only on the application's self-reported version number.

The remote Fedora 38 host has a package installed that is affected by a vulnerability as referenced in the FEDORA-2023-555f9fac30 advisory.

    fix for CVE-2023-36811: spoofed archive leads to data loss

    Please note that starting with borgbackup 1.2.5 all borg repos must use TAM authentication:
    https://github.com/borgbackup/borg/blob/1.2.6/docs/changes.rst#pre-125-archives-spoofing-vulnerability-     cve-2023-36811

Tenable has extracted the preceding description block directly from the Fedora security advisory.

Note that Nessus has not tested for this issue but has instead relied only on the application's self-reported version number.

The Linux/Unix host has one or more packages installed that are impacted by a vulnerability without a vendor supplied patch available.

  - borgbackup is an opensource, deduplicating archiver with compression and authenticated encryption. A flaw     in the cryptographic authentication scheme in borgbackup allowed an attacker to fake archives and     potentially indirectly cause backup data loss in the repository. The attack requires an attacker to be     able to: 1. insert files (with no additional headers) into backups and 2. gain write access to the     repository. This vulnerability does not disclose plaintext to the attacker, nor does it affect the     authenticity of existing archives. Creating plausible fake archives may be feasible for empty or small     archives, but is unlikely for large archives. The issue has been fixed in borgbackup 1.2.5. Users are     advised to upgrade. Additionally to installing the fixed code, users must follow the upgrade procedure as     documented in the change log. Data loss after being attacked can be avoided by reviewing the archives     (timestamp and contents valid and as expected) after any borg check --repair and before borg prune.
    There are no known workarounds for this vulnerability. (CVE-2023-36811)

Note that Nessus relies on the presence of the package as reported by the vendor.

リモートホストにインストールされている FreeBSD のバージョンは、テスト済みバージョンより前です。したがって、b8a52e5a-483d-11ee-971d-3df00e0f9020 のアドバイザリに記載されている脆弱性の影響を受けます。

  - borgbackup は、圧縮および認証された暗号化を備えたオープンソースの重複排除アーカイバーです。borgbackup の暗号化認証スキームの欠陥により、攻撃者がアーカイブを偽装し、リポジトリ内のバックアップデータの損失を間接的に引き起こす可能性がありました。この攻撃では、攻撃者が以下のことを行えなければなりません。1. ファイルを (追加のヘッダーなしで) バックアップに挿入する。2. リポジトリへの書き込みアクセスを取得する。この脆弱性は、平文を攻撃者に漏洩するものではなく、既存のアーカイブの信頼性に影響するものでもありません。妥当な偽のアーカイブの作成は、空のアーカイブや小規模なアーカイブでは実行可能ですが、大規模なアーカイブでは実行される可能性が低くなります。この問題は borgbackup 1.2.5 で修正されています。ユーザーはアップグレードすることをお勧めします。ユーザーは修正済みのコードをインストールすることに加えて、変更ログに記載されているアップグレード手順に従う必要があります。攻撃を受けた後のデータの損失は、borg check --repair の後と borg prune の前にアーカイブ (タイムスタンプとコンテンツが有効であり、期待通り) をレビューすることで回避できます。
    この脆弱性に対する既知の回避策はありません。(CVE-2023-36811)

Nessus はこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートの Fedora 39 ホストには、FEDORA-2023-467632ecbe のアドバイザリに記載された脆弱性の影響を受けるパッケージがインストールされています。

  - borgbackup は、圧縮および認証された暗号化を備えたオープンソースの重複排除アーカイバーです。borgbackup の暗号化認証スキームの欠陥により、攻撃者がアーカイブを偽装し、リポジトリ内のバックアップデータの損失を間接的に引き起こす可能性がありました。この攻撃では、攻撃者が以下のことを行えなければなりません。1. ファイルを (追加のヘッダーなしで) バックアップに挿入する。2. リポジトリへの書き込みアクセスを取得する。この脆弱性は、平文を攻撃者に漏洩するものではなく、既存のアーカイブの信頼性に影響するものでもありません。妥当な偽のアーカイブの作成は、空のアーカイブや小規模なアーカイブでは実行可能ですが、大規模なアーカイブでは実行される可能性が低くなります。この問題は borgbackup 1.2.5 で修正されています。ユーザーはアップグレードすることをお勧めします。ユーザーは修正済みのコードをインストールすることに加えて、変更ログに記載されているアップグレード手順に従う必要があります。攻撃を受けた後のデータの損失は、borg check --repair の後と borg prune の前にアーカイブ (タイムスタンプとコンテンツが有効であり、期待通り) をレビューすることで回避できます。
    この脆弱性に対する既知の回避策はありません。(CVE-2023-36811)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
181461	Fedora 37 : borgbackup (2023-34411d8f77)	Nessus	Fedora Local Security Checks	2023/9/15	2024/11/15	medium
181461	Fedora 37: borgbackup (2023-34411d8f77)	Nessus	Fedora Local Security Checks	2023/9/15	2024/11/15	medium
227423	Linux Distros 未修補的弱點：CVE-2023-36811	Nessus	Misc.	2025/3/5	2025/9/3	medium
227423	Linux Distros 未修补的漏洞：CVE-2023-36811	Nessus	Misc.	2025/3/5	2025/9/3	medium
227423	Linux Distros のパッチ未適用の脆弱性: CVE-2023-36811	Nessus	Misc.	2025/3/5	2025/9/3	medium
181458	Fedora 38: borgbackup (2023-555f9fac30)	Nessus	Fedora Local Security Checks	2023/9/15	2024/11/14	medium
180430	FreeBSD : Borg (Backup) -- flaw in cryptographic authentication scheme in Borg allowed an attacker to fake archives and indirectly cause backup data loss. (b8a52e5a-483d-11ee-971d-3df00e0f9020)	Nessus	FreeBSD Local Security Checks	2023/8/31	2023/9/25	medium
185214	Fedora 39 : borgbackup (2023-467632ecbe)	Nessus	Fedora Local Security Checks	2023/11/7	2024/11/14	medium
181458	Fedora 38 : borgbackup (2023-555f9fac30)	Nessus	Fedora Local Security Checks	2023/9/15	2024/11/14	medium
227423	Linux Distros Unpatched Vulnerability : CVE-2023-36811	Nessus	Misc.	2025/3/5	2025/9/3	medium
180430	FreeBSD: Borg (バックアップ) -- Borg の暗号認証スキームの欠陥により、攻撃者がアーカイブを偽装し、バックアップデータの損失を間接的に引き起こす可能性があります。(b8a52e5a-483d-11ee-971d-3df00e0f9020)	Nessus	FreeBSD Local Security Checks	2023/8/31	2023/9/25	medium
185214	Fedora 39 : borgbackup (2023-467632ecbe)	Nessus	Fedora Local Security Checks	2023/11/7	2024/11/14	medium

检测

插件搜索

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium