Amazon Linux AMI:git (ALAS-2022-1623)
high Nessus Plugin ID 163866
語系:
概要
遠端 Amazon Linux AMI 主機缺少安全性更新。說明
遠端主機上安裝的 git 版本為 2.37.1-1.76 之前版本。因此,它受到 ALAS-2022-1623 公告中提及的一個弱點影響。-Git 是一款分散式版本控制系統。 2.37.1、2.36.2、2.35.4、2.34.4、2.33.4、2.32.3、2.31.4 和 2.30.5 版之前的 Git 在所有平台中都容易受到權限提升弱點影響。不知情的使用者仍可能受到 CVE-2022-24765 中報告的問題影響,例如,以 Root 身分瀏覽屬於他們的共用 tmp 目錄時,攻擊者可在該目錄中建立 git 存放庫。 2.37.1、2.36.2、2.35.4、2.34.4、2.33.4、2.32.3、2.31.4 和 2.30.5 版包含針對此問題的修補程式。若要避免受到範例中所述弱點的影響,最簡單的方法是避免以 Root (或 Windows 中的系統管理員) 身分執行 git,並在需要時最大限度地減少其使用。雖然沒有一般性因應措施,但可以移除任何已存在的此類存放庫,並以 Root 身分建立一個存放庫以阻止任何未來的攻擊,以此強化系統,使其免受範例中所述弱點影響。(CVE-2022-29187)
請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
執行「yum update git」以更新系統。另請參閱
Plugin 詳細資訊
嚴重性: High
ID: 163866
檔案名稱: ala_ALAS-2022-1623.nasl
版本: 1.2
類型: local
代理程式: unix
已發布: 2022/8/5
已更新: 2022/8/5
支援的感應器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Nessus Agent, Nessus
風險資訊
VPR
風險因素: Medium
分數: 6.7
CVSS v2
風險因素: Medium
基本分數: 6.9
時間分數: 5.1
媒介: CVSS2#AV:L/AC:M/Au:N/C:C/I:C/A:C
CVSS 評分資料來源: CVE-2022-29187
CVSS v3
風險因素: High
基本分數: 7.8
時間分數: 6.8
媒介: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: p-cpe:/a:amazon:linux:emacs-git, p-cpe:/a:amazon:linux:emacs-git-el, p-cpe:/a:amazon:linux:git, p-cpe:/a:amazon:linux:git-all, p-cpe:/a:amazon:linux:git-bzr, p-cpe:/a:amazon:linux:git-core, p-cpe:/a:amazon:linux:git-core-doc, p-cpe:/a:amazon:linux:git-cvs, p-cpe:/a:amazon:linux:git-daemon, p-cpe:/a:amazon:linux:git-debuginfo, p-cpe:/a:amazon:linux:git-email, p-cpe:/a:amazon:linux:git-hg, p-cpe:/a:amazon:linux:git-instaweb, p-cpe:/a:amazon:linux:git-p4, p-cpe:/a:amazon:linux:git-subtree, p-cpe:/a:amazon:linux:git-svn, p-cpe:/a:amazon:linux:gitweb, p-cpe:/a:amazon:linux:perl-git, p-cpe:/a:amazon:linux:perl-git-svn, cpe:/o:amazon:linux
必要的 KB 項目: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2022/7/28
弱點發布日期: 2022/7/12
參考資訊
CVE: CVE-2022-29187