Rocky Linux 8GNOME (RLSA-2021:4381)

critical Nessus Plugin ID 157823

概要

遠端 Rocky Linux 主機缺少一個或多個安全性更新。

說明

遠端 Rocky Linux 8 主機已安裝受到多個弱點影響的套件如 RLSA-2021:4381 公告中所提及。

- 在 Webkit WebKitGTK 2.30.4 中,為 ImageLoader 物件處理特定事件的方式中存在釋放後使用弱點。透過特製的網頁可能導致資訊洩漏,並進一步造成記憶體損毀。要觸發該弱點,攻擊者必須誘騙受害者造訪惡意網頁。(CVE-2021-21775)

- 在 WebKitGTK 2.30.4 中,Webkit 的 GraphicsContext 處理特定事件的方式中存在釋放後使用弱點。透過特製的網頁可能導致資訊洩漏,並進一步造成記憶體損毀。要觸發該弱點,攻擊者必須誘騙受害者造訪惡意網頁。
(CVE-2021-21779)

- WebKitGTK 瀏覽器 2.30.3 x64 版中有一個可遭惡意利用的釋放後使用弱點。特製的 HTML 網頁可造成釋放後使用情形,進而導致遠端程式碼執行。受害者必須造訪惡意網站才能觸發弱點。(CVE-2021-21806)

- 已透過改善輸入驗證解決整數溢位問題。此問題已在 iOS 14.5.1 和 iPadOS 14.5.1、tvOS 14.6、iOS 12.5.3、Safari 14.1.1、macOS Big Sur 11.3.1 中得到修正。處理惡意特製的網路內容可能會導致任意程式碼執行。(CVE-2021-30663)

- 已透過改善狀態管理解決一個記憶體損毀問題。此問題已在 watchOS 7.4.1、iOS 14.5.1 和 iPadOS 14.5.1、tvOS 14.6、iOS 12.5.3、macOS Big Sur 11.3.1 中得到修正。處理惡意特製的網路內容可能會導致任意程式碼執行。Apple 獲報告指出此問題可能已經遭到惡意利用.. (CVE-2021-30665)

- 已透過改進限制解決一個邏輯問題。此問題已在 tvOS 14.6、iOS 14.6 和 iPadOS 14.6、Safari 14.1.1、macOS Big Sur 11.4、watchOS 7.5 中得到修正。惡意應用程式可能會洩漏敏感的使用者資訊。(CVE-2021-30682)

- 已透過改進狀態管理解決一個邏輯問題。此問題已在 tvOS 14.6、iOS 14.6 和 iPadOS 14.6、Safari 14.1.1、macOS Big Sur 11.4、watchOS 7.5 中得到修正。處理惡意特製的 Web 內容可能會導致通用跨網站指令碼問題。(CVE-2021-30689)

- 已透過改進限制解決一個邏輯問題。此問題已在 tvOS 14.6、iOS 14.6 和 iPadOS 14.6、Safari 14.1.1、macOS Big Sur 11.4、watchOS 7.5 中得到修正。惡意網站可能能夠存取任意伺服器上受限制的連接埠。(CVE-2021-30720)

- 已透過改善記憶體處理解決多個記憶體損毀問題。此問題已在 tvOS 14.6、iOS 14.6 和 iPadOS 14.6、Safari 14.1.1、macOS Big Sur 11.4、watchOS 7.5 中得到修正。處理惡意特製的網路內容可能會導致任意程式碼執行。(CVE-2021-30734、CVE-2021-30749)

- 描述:已透過改善安全性來源追踪解決 iframe 元素的跨來源問題。此問題已在 tvOS 14.6、iOS 14.6 和 iPadOS 14.6、Safari 14.1.1、macOS Big Sur 11.4、watchOS 7.5 中得到修正。處理惡意特製的 Web 內容可能會導致通用跨網站指令碼問題。
(CVE-2021-30744)

- 已透過改善狀態處理解決一個類型混淆問題。此問題已在 iOS 14.7、 Safari 14.1.2、macOS Big Sur 11.5、watchOS 7.6、tvOS 14.7 中得到修正。處理惡意特製的網路內容可能會導致任意程式碼執行。(CVE-2021-30758)

- 已透過改進記憶體管理解決釋放後使用問題。此問題已在 iOS 14.7、 Safari 14.1.2、macOS Big Sur 11.5、watchOS 7.6、tvOS 14.7 中得到修正。處理惡意特製的網路內容可能會導致任意程式碼執行。(CVE-2021-30795)

- 已透過改進檢查解決此問題。此問題已在 iOS 14.7、 Safari 14.1.2、macOS Big Sur 11.5、watchOS 7.6、tvOS 14.7 中得到修正。處理惡意建構的 Web 內容可能導致程式碼執行。
(CVE-2021-30797)

- 已透過改善記憶體處理解決多個記憶體損毀問題。此問題已在 iOS 14.7、macOS Big Sur 11.5、安全性更新 2021-004 Catalina、安全性更新 2021-005 Mojave 中得到修正。處理惡意特製的網路內容可能會導致任意程式碼執行。(CVE-2021-30799)

請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新受影響的套件。

另請參閱

https://errata.rockylinux.org/RLSA-2021:4381

https://bugzilla.redhat.com/show_bug.cgi?id=1651378

https://bugzilla.redhat.com/show_bug.cgi?id=1770302

https://bugzilla.redhat.com/show_bug.cgi?id=1791478

https://bugzilla.redhat.com/show_bug.cgi?id=1813727

https://bugzilla.redhat.com/show_bug.cgi?id=1854679

https://bugzilla.redhat.com/show_bug.cgi?id=1873297

https://bugzilla.redhat.com/show_bug.cgi?id=1873488

https://bugzilla.redhat.com/show_bug.cgi?id=1888404

https://bugzilla.redhat.com/show_bug.cgi?id=1894613

https://bugzilla.redhat.com/show_bug.cgi?id=1897932

https://bugzilla.redhat.com/show_bug.cgi?id=1904139

https://bugzilla.redhat.com/show_bug.cgi?id=1905000

https://bugzilla.redhat.com/show_bug.cgi?id=1909300

https://bugzilla.redhat.com/show_bug.cgi?id=1914925

https://bugzilla.redhat.com/show_bug.cgi?id=1924725

https://bugzilla.redhat.com/show_bug.cgi?id=1925640

https://bugzilla.redhat.com/show_bug.cgi?id=1928794

https://bugzilla.redhat.com/show_bug.cgi?id=1928886

https://bugzilla.redhat.com/show_bug.cgi?id=1935261

https://bugzilla.redhat.com/show_bug.cgi?id=1937416

https://bugzilla.redhat.com/show_bug.cgi?id=1937866

https://bugzilla.redhat.com/show_bug.cgi?id=1938937

https://bugzilla.redhat.com/show_bug.cgi?id=1940026

https://bugzilla.redhat.com/show_bug.cgi?id=1944323

https://bugzilla.redhat.com/show_bug.cgi?id=1944329

https://bugzilla.redhat.com/show_bug.cgi?id=1944333

https://bugzilla.redhat.com/show_bug.cgi?id=1944337

https://bugzilla.redhat.com/show_bug.cgi?id=1944340

https://bugzilla.redhat.com/show_bug.cgi?id=1944343

https://bugzilla.redhat.com/show_bug.cgi?id=1944350

https://bugzilla.redhat.com/show_bug.cgi?id=1944859

https://bugzilla.redhat.com/show_bug.cgi?id=1944862

https://bugzilla.redhat.com/show_bug.cgi?id=1944867

https://bugzilla.redhat.com/show_bug.cgi?id=1949176

https://bugzilla.redhat.com/show_bug.cgi?id=1951086

https://bugzilla.redhat.com/show_bug.cgi?id=1952136

https://bugzilla.redhat.com/show_bug.cgi?id=1955754

https://bugzilla.redhat.com/show_bug.cgi?id=1957705

https://bugzilla.redhat.com/show_bug.cgi?id=1960705

https://bugzilla.redhat.com/show_bug.cgi?id=1962049

https://bugzilla.redhat.com/show_bug.cgi?id=1971507

https://bugzilla.redhat.com/show_bug.cgi?id=1971534

https://bugzilla.redhat.com/show_bug.cgi?id=1972545

https://bugzilla.redhat.com/show_bug.cgi?id=1978287

https://bugzilla.redhat.com/show_bug.cgi?id=1978505

https://bugzilla.redhat.com/show_bug.cgi?id=1978612

https://bugzilla.redhat.com/show_bug.cgi?id=1980441

https://bugzilla.redhat.com/show_bug.cgi?id=1980661

https://bugzilla.redhat.com/show_bug.cgi?id=1981420

https://bugzilla.redhat.com/show_bug.cgi?id=1986863

https://bugzilla.redhat.com/show_bug.cgi?id=1986866

https://bugzilla.redhat.com/show_bug.cgi?id=1986872

https://bugzilla.redhat.com/show_bug.cgi?id=1986874

https://bugzilla.redhat.com/show_bug.cgi?id=1986879

https://bugzilla.redhat.com/show_bug.cgi?id=1986881

https://bugzilla.redhat.com/show_bug.cgi?id=1986883

https://bugzilla.redhat.com/show_bug.cgi?id=1986886

https://bugzilla.redhat.com/show_bug.cgi?id=1986888

https://bugzilla.redhat.com/show_bug.cgi?id=1986890

https://bugzilla.redhat.com/show_bug.cgi?id=1986892

https://bugzilla.redhat.com/show_bug.cgi?id=1986900

https://bugzilla.redhat.com/show_bug.cgi?id=1986902

https://bugzilla.redhat.com/show_bug.cgi?id=1986906

https://bugzilla.redhat.com/show_bug.cgi?id=1987233

https://bugzilla.redhat.com/show_bug.cgi?id=1989035

https://bugzilla.redhat.com/show_bug.cgi?id=1998989

https://bugzilla.redhat.com/show_bug.cgi?id=1999120

https://bugzilla.redhat.com/show_bug.cgi?id=2004170

Plugin 詳細資訊

嚴重性: Critical

ID: 157823

檔案名稱: rocky_linux_RLSA-2021-4381.nasl

版本: 1.6

類型: local

已發布: 2022/2/9

已更新: 2023/11/8

支援的感應器: Continuous Assessment, Nessus

風險資訊

VPR

風險因素: High

分數: 8.4

CVSS v2

風險因素: High

基本分數: 9.3

時間性分數: 7.7

媒介: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C

CVSS 評分資料來源: CVE-2021-30799

CVSS v3

風險因素: Critical

基本分數: 9.8

時間性分數: 9.1

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:F/RL:O/RC:C

CVSS 評分資料來源: CVE-2021-1871

弱點資訊

CPE: p-cpe:/a:rocky:linux:gnome-online-accounts-devel, p-cpe:/a:rocky:linux:gnome-control-center-debuginfo, p-cpe:/a:rocky:linux:gnome-autoar, p-cpe:/a:rocky:linux:gdm, p-cpe:/a:rocky:linux:gnome-session-wayland-session, p-cpe:/a:rocky:linux:gsettings-desktop-schemas, p-cpe:/a:rocky:linux:mutter, p-cpe:/a:rocky:linux:gnome-shell, p-cpe:/a:rocky:linux:gnome-shell-extension-common, p-cpe:/a:rocky:linux:gnome-autoar-debuginfo, p-cpe:/a:rocky:linux:gnome-software-debuginfo, p-cpe:/a:rocky:linux:gnome-software, p-cpe:/a:rocky:linux:gnome-session-kiosk-session, p-cpe:/a:rocky:linux:gnome-calculator, p-cpe:/a:rocky:linux:gnome-shell-debugsource, p-cpe:/a:rocky:linux:webkit2gtk3-devel-debuginfo, p-cpe:/a:rocky:linux:gnome-software-debugsource, p-cpe:/a:rocky:linux:gnome-session-debugsource, p-cpe:/a:rocky:linux:gnome-control-center, p-cpe:/a:rocky:linux:gnome-settings-daemon-debuginfo, p-cpe:/a:rocky:linux:vino, p-cpe:/a:rocky:linux:mutter-devel, p-cpe:/a:rocky:linux:gdm-debugsource, p-cpe:/a:rocky:linux:webkit2gtk3, p-cpe:/a:rocky:linux:gnome-shell-extension-no-hot-corner, p-cpe:/a:rocky:linux:gtk-update-icon-cache-debuginfo, p-cpe:/a:rocky:linux:gnome-shell-extension-horizontal-workspaces, p-cpe:/a:rocky:linux:libraw-debugsource, p-cpe:/a:rocky:linux:gtk3-immodule-xim, p-cpe:/a:rocky:linux:gnome-shell-extension-panel-favorites, p-cpe:/a:rocky:linux:gtk3-debuginfo, p-cpe:/a:rocky:linux:gtk3-devel, p-cpe:/a:rocky:linux:gtk3-immodule-xim-debuginfo, p-cpe:/a:rocky:linux:gnome-shell-extension-systemmonitor, p-cpe:/a:rocky:linux:webkit2gtk3-jsc-debuginfo, p-cpe:/a:rocky:linux:gnome-shell-extension-disable-screenshield, p-cpe:/a:rocky:linux:gnome-shell-extension-window-list, p-cpe:/a:rocky:linux:vino-debugsource, p-cpe:/a:rocky:linux:gnome-online-accounts-debugsource, p-cpe:/a:rocky:linux:gsettings-desktop-schemas-devel, p-cpe:/a:rocky:linux:mutter-debugsource, p-cpe:/a:rocky:linux:accountsservice-devel, p-cpe:/a:rocky:linux:gnome-calculator-debuginfo, p-cpe:/a:rocky:linux:gnome-shell-extension-window-grouper, p-cpe:/a:rocky:linux:gtk3-debugsource, p-cpe:/a:rocky:linux:gnome-shell-extension-workspace-indicator, cpe:/o:rocky:linux:8, p-cpe:/a:rocky:linux:gnome-control-center-filesystem, p-cpe:/a:rocky:linux:gnome-shell-debuginfo, p-cpe:/a:rocky:linux:webkit2gtk3-devel, p-cpe:/a:rocky:linux:gnome-shell-extension-launch-new-instance, p-cpe:/a:rocky:linux:webkit2gtk3-jsc, p-cpe:/a:rocky:linux:gdm-debuginfo, p-cpe:/a:rocky:linux:gnome-session, p-cpe:/a:rocky:linux:gnome-shell-extension-top-icons, p-cpe:/a:rocky:linux:gtk3-devel-debuginfo, p-cpe:/a:rocky:linux:gnome-shell-extension-apps-menu, p-cpe:/a:rocky:linux:webkit2gtk3-debuginfo, p-cpe:/a:rocky:linux:gnome-settings-daemon-debugsource, p-cpe:/a:rocky:linux:libraw, p-cpe:/a:rocky:linux:gnome-shell-extension-updates-dialog, p-cpe:/a:rocky:linux:libraw-debuginfo, p-cpe:/a:rocky:linux:gnome-online-accounts, p-cpe:/a:rocky:linux:gnome-shell-extension-dash-to-dock, p-cpe:/a:rocky:linux:gnome-shell-extension-drive-menu, p-cpe:/a:rocky:linux:vino-debuginfo, p-cpe:/a:rocky:linux:gnome-shell-extension-native-window-placement, p-cpe:/a:rocky:linux:gnome-autoar-debugsource, p-cpe:/a:rocky:linux:gnome-classic-session, p-cpe:/a:rocky:linux:gnome-shell-extension-windowsnavigator, p-cpe:/a:rocky:linux:gnome-shell-extension-auto-move-windows, p-cpe:/a:rocky:linux:mutter-debuginfo, p-cpe:/a:rocky:linux:gnome-session-xsession, p-cpe:/a:rocky:linux:gnome-control-center-debugsource, p-cpe:/a:rocky:linux:webkit2gtk3-debugsource, p-cpe:/a:rocky:linux:gnome-session-debuginfo, p-cpe:/a:rocky:linux:accountsservice, p-cpe:/a:rocky:linux:webkit2gtk3-jsc-devel-debuginfo, p-cpe:/a:rocky:linux:gnome-software-devel, p-cpe:/a:rocky:linux:gnome-shell-extension-desktop-icons, p-cpe:/a:rocky:linux:accountsservice-debuginfo, p-cpe:/a:rocky:linux:libraw-devel, p-cpe:/a:rocky:linux:gnome-shell-extension-gesture-inhibitor, p-cpe:/a:rocky:linux:gnome-calculator-debugsource, p-cpe:/a:rocky:linux:gnome-shell-extension-user-theme, p-cpe:/a:rocky:linux:accountsservice-libs-debuginfo, p-cpe:/a:rocky:linux:gnome-shell-extension-places-menu, p-cpe:/a:rocky:linux:webkit2gtk3-jsc-devel, p-cpe:/a:rocky:linux:gtk3, p-cpe:/a:rocky:linux:gnome-online-accounts-debuginfo, p-cpe:/a:rocky:linux:gtk-update-icon-cache, p-cpe:/a:rocky:linux:accountsservice-debugsource, p-cpe:/a:rocky:linux:gnome-settings-daemon, p-cpe:/a:rocky:linux:gnome-shell-extension-screenshot-window-sizer, p-cpe:/a:rocky:linux:accountsservice-libs

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/RockyLinux/release, Host/RockyLinux/rpm-list

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2021/11/16

弱點發布日期: 2021/4/29

CISA 已知遭惡意利用弱點到期日: 2021/11/17, 2022/5/25

參考資訊

CVE: CVE-2020-13558, CVE-2020-24870, CVE-2020-27918, CVE-2020-29623, CVE-2020-36241, CVE-2021-1765, CVE-2021-1788, CVE-2021-1789, CVE-2021-1799, CVE-2021-1801, CVE-2021-1844, CVE-2021-1870, CVE-2021-1871, CVE-2021-21775, CVE-2021-21779, CVE-2021-21806, CVE-2021-28650, CVE-2021-30663, CVE-2021-30665, CVE-2021-30682, CVE-2021-30689, CVE-2021-30720, CVE-2021-30734, CVE-2021-30744, CVE-2021-30749, CVE-2021-30758, CVE-2021-30795, CVE-2021-30797, CVE-2021-30799

IAVA: 2021-A-0212-S, 2021-A-0251-S, 2021-A-0349-S