Ubuntu 16.04 LTS:GOsa 弱點 (USN-4609-1)
critical Nessus Plugin ID 142026
語系:
概要
遠端 Ubuntu 主機缺少一個或多個安全性更新。說明
遠端 Ubuntu 16.04 LTS 主機上安裝的套件受到 USN-4609-1 公告中所提及的多個弱點影響。- 認可 56070d6289d47ba3f5918885954dcceb75606001 之前的 GONICUS GOsa 版本在變更密碼表單 (html/password.php,#308) 中有一個跨網站指令碼 (XSS)弱點,可導致任意 Web 指令碼或 HTML 插入。若要惡意利用此攻擊,必須由受害者開啟特製的 Web 頁面。此弱點似乎已在認可 56070d6289d47ba3f5918885954dcceb75606001 後修正。(CVE-2018-1000528)
- 在 2019 年 4 月 11 日之前 GONICUS GOsa 的 LDAP 類別中,由於存取控制錯誤問題,攻擊者只要提供任意密碼,即可登入使用者名稱中包含區分大小寫子字串的任何帳戶。(CVE-2019-11187)
- GONICUS GOsa 2.7.5.2 中的 GOsa_Filter_Settings cookie 容易受到 PHP 異議插入影響,經驗證的遠端攻擊者可以透過特製的 cookie 值執行檔案)刪除 (在執行 Web 伺服器的使用者帳戶內容中),這是因為使用了未序列化以從 cookie 還原篩選設定。(CVE-2019-14466)
請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
更新受影響的套件。另請參閱
Plugin 詳細資訊
嚴重性: Critical
ID: 142026
檔案名稱: ubuntu_USN-4609-1.nasl
版本: 1.5
類型: local
代理程式: unix
已發布: 2020/10/29
已更新: 2023/10/23
支援的感應器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
風險資訊
VPR
風險因素: Medium
分數: 5.9
CVSS v2
風險因素: High
基本分數: 7.5
時間分數: 5.5
媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS 評分資料來源: CVE-2019-11187
CVSS v3
風險因素: Critical
基本分數: 9.8
時間分數: 8.5
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: p-cpe:/a:canonical:ubuntu_linux:gosa-plugin-openxchange, p-cpe:/a:canonical:ubuntu_linux:gosa-plugin-openxchange-schema, p-cpe:/a:canonical:ubuntu_linux:gosa-plugin-opsi, p-cpe:/a:canonical:ubuntu_linux:gosa-plugin-phpgw, p-cpe:/a:canonical:ubuntu_linux:gosa-plugin-phpgw-schema, cpe:/o:canonical:ubuntu_linux:16.04:-:lts, p-cpe:/a:canonical:ubuntu_linux:gosa, p-cpe:/a:canonical:ubuntu_linux:gosa-desktop, p-cpe:/a:canonical:ubuntu_linux:gosa-dev, p-cpe:/a:canonical:ubuntu_linux:gosa-help-de, p-cpe:/a:canonical:ubuntu_linux:gosa-help-en, p-cpe:/a:canonical:ubuntu_linux:gosa-help-fr, p-cpe:/a:canonical:ubuntu_linux:gosa-help-nl, p-cpe:/a:canonical:ubuntu_linux:gosa-plugin-connectivity, p-cpe:/a:canonical:ubuntu_linux:gosa-plugin-dhcp, p-cpe:/a:canonical:ubuntu_linux:gosa-plugin-phpscheduleit, p-cpe:/a:canonical:ubuntu_linux:gosa-plugin-phpscheduleit-schema, p-cpe:/a:canonical:ubuntu_linux:gosa-plugin-dhcp-schema, p-cpe:/a:canonical:ubuntu_linux:gosa-plugin-dns, p-cpe:/a:canonical:ubuntu_linux:gosa-plugin-dns-schema, p-cpe:/a:canonical:ubuntu_linux:gosa-plugin-fai, p-cpe:/a:canonical:ubuntu_linux:gosa-plugin-fai-schema, p-cpe:/a:canonical:ubuntu_linux:gosa-plugin-gofax, p-cpe:/a:canonical:ubuntu_linux:gosa-plugin-gofon, p-cpe:/a:canonical:ubuntu_linux:gosa-plugin-goto, p-cpe:/a:canonical:ubuntu_linux:gosa-plugin-kolab, p-cpe:/a:canonical:ubuntu_linux:gosa-plugin-kolab-schema, p-cpe:/a:canonical:ubuntu_linux:gosa-plugin-ldapmanager, p-cpe:/a:canonical:ubuntu_linux:gosa-plugin-mail, p-cpe:/a:canonical:ubuntu_linux:gosa-plugin-mit-krb5, p-cpe:/a:canonical:ubuntu_linux:gosa-plugin-mit-krb5-schema, p-cpe:/a:canonical:ubuntu_linux:gosa-plugin-nagios, p-cpe:/a:canonical:ubuntu_linux:gosa-plugin-nagios-schema, p-cpe:/a:canonical:ubuntu_linux:gosa-plugin-netatalk, p-cpe:/a:canonical:ubuntu_linux:gosa-plugin-opengroupware, p-cpe:/a:canonical:ubuntu_linux:gosa-plugin-pptp, p-cpe:/a:canonical:ubuntu_linux:gosa-plugin-pptp-schema, p-cpe:/a:canonical:ubuntu_linux:gosa-plugin-pureftpd, p-cpe:/a:canonical:ubuntu_linux:gosa-plugin-pureftpd-schema, p-cpe:/a:canonical:ubuntu_linux:gosa-plugin-rolemanagement, p-cpe:/a:canonical:ubuntu_linux:gosa-plugin-rsyslog, p-cpe:/a:canonical:ubuntu_linux:gosa-plugin-samba, p-cpe:/a:canonical:ubuntu_linux:gosa-plugin-scalix, p-cpe:/a:canonical:ubuntu_linux:gosa-plugin-squid, p-cpe:/a:canonical:ubuntu_linux:gosa-plugin-ssh, p-cpe:/a:canonical:ubuntu_linux:gosa-plugin-ssh-schema, p-cpe:/a:canonical:ubuntu_linux:gosa-plugin-sudo, p-cpe:/a:canonical:ubuntu_linux:gosa-plugin-sudo-schema, p-cpe:/a:canonical:ubuntu_linux:gosa-plugin-systems, p-cpe:/a:canonical:ubuntu_linux:gosa-plugin-uw-imap, p-cpe:/a:canonical:ubuntu_linux:gosa-plugin-webdav, p-cpe:/a:canonical:ubuntu_linux:gosa-schema
必要的 KB 項目: Host/cpu, Host/Ubuntu, Host/Ubuntu/release, Host/Debian/dpkg-l
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2020/10/28
弱點發布日期: 2018/6/26
參考資訊
CVE: CVE-2018-1000528, CVE-2019-11187, CVE-2019-14466
USN: 4609-1