偵測

Oracle Linux 8:go-toolset: ol8addon (ELSA-2022-17956)

high Nessus Plugin ID 163040

語系:

概要

遠端 Oracle Linux 主機缺少一個或多個安全性更新。

說明

遠端 Oracle Linux 8 主機中安裝的套件受到 ELSA-2022-17956 公告中提及的多個弱點影響。

 - 在 Go 1.17.9 之前版本以及 1.18.x 的 1.18.1 之前版本中,encoding/pem 允許透過大量 PEM 資料造成解碼堆疊溢位問題。(CVE-2022-24675)

 - 在 Go 1.17.9 之前版本以及 1.18.x 的 1.18.1 之前版本中,crypto/elliptic 的一般 P-256 特徵允許透過長純量輸入造成錯誤。(CVE-2022-28327)

 - 在 Go 1.17.10 之前版本和 1.18.2 之前的 1.18.x 版本中具有不正確的權限指派。使用非零旗標參數呼叫時,Faccessat 函式可能會錯誤報告檔案可供存取。
 (CVE-2022-29526)

 - 在 Go 1.18.x 版的 1.18.1 之前版本中,當提供某些格式錯誤的憑證時,crypto/x509 中的 Certificate.Verify 可能會在 macOS 上發生錯誤,這允許遠端 TLS 伺服器造成 TLS 用戶端發生錯誤。(CVE-2022-27536)

 - Go 專案報告:crypto/rand:rand.Read 因緩衝區太大而懸置。在 Windows 上,如果傳遞大於 1 << 32 - 1 位元組的緩衝區,rand.Read 將無限期懸置。 crypto/tls: 工作階段票證缺少隨機 ticket_age_add。crypto/tls 產生的工作階段票證不含隨機產生的 ticket_age_add,因此,可觀察 TLS 交握的攻擊者能夠透過在工作階段恢復期間比較票證期限來關聯連續的連線。os/exec:空 Cmd.Path 可導致在 Windows 上執行非預期的二進位檔。在 Windows 上,如果在取消設定 Cmd.Path 並且在工作目錄中有名為 ..com 或 ..exe 的二進位檔的情況下執行 Cmd.Ru cmd.Start、cmd.Output 或 cmd.CombinedOutput,則系統會執行這些程式碼。path/filepath: Clean(`.\c: `) 在 Windows 上傳回 `c:`。在 Windows 上,filepath.Clean 函式可將無效的路徑轉換為有效的絕對路徑。例如, Clean(`.\c:`) 傳回 `c: `。(CVE-2022-29804、CVE-2022-30580、CVE-2022-30634)

 - grafana-8.5.6-1.fc37 的自動更新。##### **變更記錄** ``` * 2022 年 6 月 29 日星期三 Andreas Gerstmayr <[email protected]> 8.5.6-1 - 更新標記 8.5.6 的上游社群原始程式碼,請參閱變更記錄 - 已更新 AGPLv3 的授權 - 在 /etc/grafana/grafana.ini 中放置加註解的範例組態檔案 - 在構建程序中啟用 Go 模組 - 根據 yarn v3 和 Zero Install 功能調整 Node.js bundling * Sun 2022 年 6 月 19 日 Robert-Andr Mauchin <[email protected]> - 7.5.15-3 - 針對 CVE-2022-1996、CVE-2022-24675、CVE-2022-28327、CVE-2022-27191、CVE-2022-29526、CVE-2022-30629 重新構建``` (CVE-2022-30629)

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新受影響的套件。

另請參閱

https://linux.oracle.com/errata/ELSA-2022-17956.html

Plugin 詳細資訊

嚴重性: High

ID: 163040

檔案名稱: oraclelinux_ELSA-2022-17956.nasl

版本: 1.6

類型: local

代理程式: unix

已發布: 2022/7/12

已更新: 2023/10/18

支援的感應器: Frictionless Assessment Agent, Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: Medium

基本分數: 5

時間分數: 3.9

媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N

CVSS 評分資料來源: CVE-2022-29526

CVSS v3

風險因素: High

基本分數: 7.8

時間分數: 7

媒介: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:P/RL:O/RC:C

CVSS 評分資料來源: CVE-2022-30580

弱點資訊

CPE: p-cpe:/a:oracle:linux:delve, p-cpe:/a:oracle:linux:go-toolset, p-cpe:/a:oracle:linux:golang, p-cpe:/a:oracle:linux:golang-bin, p-cpe:/a:oracle:linux:golang-docs, p-cpe:/a:oracle:linux:golang-misc, p-cpe:/a:oracle:linux:golang-race, p-cpe:/a:oracle:linux:golang-src, p-cpe:/a:oracle:linux:golang-tests, cpe:/o:oracle:linux:8

必要的 KB 項目: Host/OracleLinux, Host/RedHat/release, Host/RedHat/rpm-list, Host/local_checks_enabled

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2022/7/12

弱點發布日期: 2022/4/20

參考資訊

CVE: CVE-2022-24675, CVE-2022-27536, CVE-2022-28327, CVE-2022-29526, CVE-2022-29804, CVE-2022-30580, CVE-2022-30629, CVE-2022-30634