HCL BigFix 多個弱點 (KB0098998)
high Nessus Plugin ID 168825
語系:
概要
HCL BigFix 受到多個弱點影響。說明
遠端主機上安裝的 HCL BigFix Client 版本受到包括如下在內的多個弱點影響:- curl 子元件中有不當驗證弱點,可能允許在未正確確定已使用為此傳輸設定的相同憑證來驗證連線的情況下,重複使用 OAUTH2 驗證的代理伺服器連線。此弱點會影響已啟用 SASL 的通訊協定:SMPTP(S)、IMAP(S)、POP3(S) 和 LDAP(S) (僅限 openldap)。(CVE-2022-22576)
- curl 子元件中存在一個資訊洩漏弱點。使用連線集區中具有不同區域 ID 的 IPv6 位址時,可能會改為重複使用連線。(CVE-2022-27775)
- curl 子元件中修正的憑證保護不足弱點可能會在 HTTP 重新導向至相同主機不同連接埠號碼時洩漏驗證或 Cookie 標頭資料。
(CVE-2022-27776)
請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
升級至 HCL BigFix Platform 9.5.20、10.0.7 版或更新版本。另請參閱
Plugin 詳細資訊
嚴重性: High
ID: 168825
檔案名稱: hcl_bigfix_client_KB0098998.nasl
版本: 1.7
類型: local
代理程式: windows, macosx, unix
系列: Misc.
已發布: 2022/12/15
已更新: 2024/2/8
組態: 啟用徹底檢查
支援的感應器: Nessus Agent, Nessus
風險資訊
VPR
風險因素: Medium
分數: 6.0
CVSS v2
風險因素: Medium
基本分數: 5.5
時間分數: 4.5
媒介: CVSS2#AV:N/AC:L/Au:S/C:P/I:P/A:N
CVSS 評分資料來源: CVE-2022-22576
CVSS v3
風險因素: High
基本分數: 8.1
時間分數: 7.5
媒介: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
時間媒介: CVSS:3.0/E:F/RL:O/RC:C
弱點資訊
CPE: cpe:/a:ibm:tivoli_endpoint_manager, cpe:/a:ibm:endpoint_manager, cpe:/a:ibm:bigfix_platform, cpe:/a:hcltech:bigfix_platform
必要的 KB 項目: installed_sw/HCL BigFix Client
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2022/7/15
弱點發布日期: 2022/7/15
參考資訊
CVE: CVE-2022-22576, CVE-2022-27544, CVE-2022-27545, CVE-2022-27775, CVE-2022-27776
IAVA: 2022-A-0514-S