检测

MagicLinux 9podman-4.9.4-4.el9_4 (AXSA:2024-8285:05)

medium Nessus 插件 ID 292661

语言:

简介

远程iraclelinux 主机缺少一个或多个安全更新。

描述

远程iraclelinux 9 主机上存在安装的程序包该程序包受到 AXSA:2024-8285:05 公告中提及的多个漏洞的影响。

 Podman 工具管理 pod、容器图像和容器。它是 libpod 库的一部分,用于使用容器 pod 的应用程序。容器 pod 是 Kubernetes 中的概念。
 安全补丁:
 * podman:jose-go:对高度压缩数据的处理不当 (CVE-2024-28180)
 * Request.ParseMultipartForm 中的 podmangolangnet/[http:](http:) 内存耗尽 (CVE-2023-45290)
 * podmanjose资源耗尽 (CVE-2024-28176) CVE-2023-45290 解析多部分表单时使用 Request.ParseMultipartForm 显式解析或者使用 Request.FormValue、Request.PostFormValue 或 Request.FormFile 隐式时解析多部分表单的总大小限制表单未应用到读取单个表单行时消耗的内存。因此,恶意构建的包含超长行的输入可以造成任意大量内存被分配,进而可能导致内存耗尽。通过 修复ParseMultipartForm 函数现在可以正确限制表单行的最大大小。
 CVE-2024-28176 jose 是用于 JSON 对象签名和加密的 JavaScript 模块提供对 JSON Web Tokens (JWT)、JSON Web Signature (JWS)、JSON Web Encryption (JWE)、JSON Web Key (JWK)、JSON Web Key Set (JWKS)、等等。在 JSON Web Encryption (JWE) 解密接口中发现一个漏洞,该漏洞尤其与解密后纯文本的解压缩支持有关。在某些情况下,该漏洞可能会在 JWE 解密操作期间使用户的环境消耗不合理的 CPU 时间或内存资源。已在 2.0.7 和 4.15.5 中修补此问题。
 CVE-2024-28180 jose 程序包旨在提供 Javascript 对象签名和加密标准集的实现。攻击者可发送包含压缩数据的 JWE,当使用 Decrypt 或 DecryptMulti 解压缩时,这些数据会占用大量内存和 CPU。如果解压缩的数据超过 250kB 或压缩文件大小的 10 倍(以较大者为准),这些函数现在会返回错误。此漏洞已在版本 4.0.1、 3.0.3 和 2.6.3中修补。

Tenable 已直接从MiracleLinux 安全公告中提取上述描述块。

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的程序包。

另见

https://tsn.miraclelinux.com/en/node/19469

插件详情

严重性: Medium

ID: 292661

文件名: miracle_linux_AXSA-2024-8285.nasl

版本: 1.1

类型: local

发布时间: 2026/1/20

最近更新时间: 2026/1/20

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 4.4

Vendor

Vendor Severity: Moderate

CVSS v2

风险因素: Medium

基本分数: 5.4

时间分数: 4

矢量: CVSS2#AV:N/AC:H/Au:N/C:N/I:N/A:C

CVSS 分数来源: CVE-2024-28176

CVSS v3

风险因素: Medium

基本分数: 5.9

时间分数: 5.2

矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:miracle:linux:podman-docker, p-cpe:/a:miracle:linux:podman-remote, p-cpe:/a:miracle:linux:podman, cpe:/o:miracle:linux:9, p-cpe:/a:miracle:linux:podman-tests, p-cpe:/a:miracle:linux:podman-plugins

必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list

易利用性: No known exploits are available

补丁发布日期: 2024/6/17

漏洞发布日期: 2024/3/5

参考资料信息

CVE: CVE-2023-45290, CVE-2024-28176, CVE-2024-28180

IAVB: 2024-B-0020-S