Rocky Linux 8Satellite 6.13 版本 (重要) (RLSA-2023:2097)
critical Nessus Plugin ID 175139
語言:
概要
遠端 Rocky Linux 主機缺少一個或多個安全性更新。說明
遠端 Rocky Linux 8 主機已安裝受到多個弱點影響的套件如 RLSA-2023:2097 公告中所提及。- SnakeYaml 的 Constructor() 類別未限制可在還原序列化期間具現化的類型。
反序列化攻擊者提供的 yaml 內容可導致遠端程式碼執行。我們建議在剖析未受信任的內容時使用 SnakeYaml 的 SafeConsturctor,以限制還原序列化。我們建議升級至 2.0 或更新版本。(CVE-2022-1471)
- Action Pack >= 5.2.0 和 < 5.2.0 中存在 XSS 弱點,攻擊者可藉此繞過針對非 HTML 類回應的 CSP。(CVE-2022-22577)
- Loofah 是建立在 Nokogiri 之上,用於操控及轉換 HTML/XML 文件和片段的一般程式庫。Loofah 2.19.1 之前版本包含效率低下的規則運算式,在嘗試清理特定的 SVG 屬性時,容易發生過度回溯。這可能會透過 CPU 資源消耗而導致拒絕服務。此問題已在 2.19.1 版中修補。(CVE-2022-23514)
- Loofah 是建立在 Nokogiri 之上,用於操控及轉換 HTML/XML 文件和片段的一般程式庫。Loofah 2.1.0 及更高版本和 2.19.1 之前版本容易因資料 URI 中的 image/svg+xml 媒體類型而受到跨網站指令碼攻擊。此問題已在 2.19.1 版中修補。(CVE-2022-23515)
- Loofah 是建立在 Nokogiri 之上,用於操控及轉換 HTML/XML 文件和片段的一般程式庫。Loofah 2.2.0 及更高版本和 2.19.1 之前版本使用遞回來清理 CDATA 區段,因而容易發生堆疊耗盡,並引發 SystemStackError 例外狀況。這可能會透過 CPU 資源消耗而導致拒絕服務。此問題已在 2.19.1 版中修補。無法升級的使用者或許可藉由限制被清理字串的長度來減輕此弱點。(CVE-2022-23516)
- rails-html-sanitizer 負責清理 Rails 應用程式中的 HTML 片段。rails-html-sanitizer 1.4.4 之前版本的某些設定使用效率低下的規則運算式,在嘗試清理特定的 SVG 屬性時,容易發生過度回溯。這可能會透過 CPU 資源消耗而導致拒絕服務。此問題已在 1.4.4 版中修正。(CVE-2022-23517)
- rails-html-sanitizer 負責清理 Rails 應用程式中的 HTML 片段。1.0.3 及更高版本和 1.4.4 之前版本與 Loofah 2.1.0 及更高版本配搭使用時,容易因資料 URI 而遭受跨網站指令碼攻擊。此問題已在 1.4.4 版中修補。(CVE-2022-23518)
- rails-html-sanitizer 負責清理 Rails 應用程式中的 HTML 片段。在 1.4.4版之前如果應用程式開發人員已透過下列任一方式覆寫允許的清理程式標籤Rails::Html::Sanitizer 特定組態的 XSS 弱點可能會讓攻擊者插入內容同時允許 math 和 style元素,或同時允許 svg 和 style 元素。只有在覆寫允許的標籤時,程式碼才會受到影響 。1.4.4 版已修正此問題。覆寫允許的標籤以包含 math 或 svg 和 style 的所有使用者皆應立即升級或使用下列因應措施從覆寫的允許標籤中移除 style或移除覆寫的允許標籤中的 math 和 svg。 (CVE-2022-23519)
- rails-html-sanitizer 負責清理 Rails 應用程式中的 HTML 片段。在 1.4.4版之前Rails::Html::Sanitizer 的特定組態可能存有一個因 CVE-2022-32209修正不完整而導致的 XSS 弱點。如果應用程式開發人員已覆寫所允許的清理程式標籤以允許 select 和 style 元素,Rails::Html::Sanitizer 可能允許攻擊者插入內容。只有在覆寫允許的標籤時,程式碼才會受到影響。此問題已在 1.4.4 版中修補。覆寫允許的標籤以包含 select 和 style 的所有使用者皆應升級或使用此因應措施:從覆寫的允許標籤中移除 select 或 style。注意程式碼為
若使用 Action View 協助程式方法清理的 :tags 選項或執行個體方法 SafeListSanitizer#sanitize 的 :tags 選項覆寫允許的標籤_不會_受影響。 (CVE-2022-23520)
- 0 版和 1.31 之前的 org.yaml:snakeyaml 套件容易受到拒絕服務 (DoS) 影響這是因為缺少集合的巢狀深度限制所致。 (CVE-2022-25857)
- Action View 標籤協助程式 >= 5.2.0 和 < 5.2.0 中存在 XSS 弱點,如果攻擊者能夠控制特定屬性的輸入,則可利用此弱點插入內容。(CVE-2022-27777)
- TZInfo 是一個 Ruby 庫,提供對時區資料的存取權,並允許使用時區規則轉換時間。0.36.1 之前版本和 1.2.10 之前版本與 Ruby 資料來源 tzinfo-data 一起使用時,容易受到相對路徑遊走弱點影響。使用者可使用 Ruby 資料來源在 Ruby 檔案中定義時區。每個時區有一個檔案。使用「require」隨需載入時區檔案。在受影響的版本中`TZInfo::Timezone.get` 無法正確驗證時區識別碼進而允許識別碼中有新行字元。在 Ruby 1.9.3 版和更新版本中可以使 `TZInfo::Timezone.get` 以 `require` 載入非預定的檔案並在 Ruby 處理程序中執行這些檔案。 0.3.61 和 1.2.10 版包含可正確驗證時區識別碼的修復程式。2.0.0 和更新版本不容易受此弱點攻擊。如果檔案名稱遵循有效時區識別碼的規則,且檔案在載入路徑的目錄中具有「tzinfo/definition」前置詞,則 0.3.61 版仍可從 Ruby 載入路徑載入任意檔案。應用程式應確保未將不受信任的檔案放置於載入路徑的目錄中。因應措施為先驗證時區識別碼再傳送至 `TZInfo::Timezone.get` 方法是確保其符合規則運算式 `\A[A-Za-z0-9+\-_]+(?:\ /[A-Za-z0-9+\-_]+)*\z`. (CVE-2022-31163)
- 在 Active Record < 7.0.3.1、 <6.1.6.1、 <6.0.5.1 和 <5.2.8.1 中使用 YAML 序列化欄時存在一個可能升級為 RCE 弱點這可能允許攻擊者可以操控資料庫中的資料 (透過如 SQL 插入)、可升級為 RCE 的能力。 (CVE-2022-32224)
- Apache Commons Configuration 可執行變數插補,允許動態評估和展開內容。標準的插入格式為 ${prefix:name}其中的 prefix 用於尋找執行插入的 org.apache.commons.configuration2.interpol.Lookup 執行個體。從 2.4 版直到 2.7 版,預設的 Lookup 執行個體組包含可導致任意程式碼執行或與遠端伺服器聯絡的內插程式。這些查閱為- script - 使用 JVM 指令碼執行引擎 (javax.script) 執行運算式 - dns
- 解析 dns 記錄 - url - 從 url 載入值,包括從遠端伺服器載入。使用受影響版本中內插預設值的應用程式可能容易遭受遠端程式碼執行攻擊,或是意外連絡遠端伺服器 (如果使用未受信任的組態值)。建議使用者升級至 Apache Commons Configuration 2.8.0,其預設停用有問題的內插程式。(CVE-2022-33980)
- 使用 SnakeYAML 剖析不受信任的 YAML 檔案可能容易遭受拒絕服務攻擊 (DOS)。如果針對使用者提供的輸入執行此剖析器,則攻擊者可提供特別構建的內容,造成剖析器因堆疊溢位而損毀。(CVE-2022-38749、CVE-2022-38750、CVE-2022-38751)
- 使用 SnakeYAML 剖析不受信任的 YAML 檔案可能容易遭受拒絕服務攻擊 (DOS)。如果針對使用者提供的輸入執行此剖析器,則攻擊者可提供特別構建的內容,造成剖析器因堆疊溢位而損毀。(CVE-2022-38752)
- 在 Django 3.2 的 3.2.16 之前版本、4.0 的 4.0.8 之前版本和 4.1 的 4.1.2 之前版本中,國際化 URL 會受到透過被視為規則運算式的地區參數執行的拒絕服務攻擊。(CVE-2022-41323)
- pgjdbc 是開放原始碼的 postgresql JDBC 驅動程式。在受影響的版本中,如果 InputStream 大於 2k,使用「PreparedStatement.setText(int, InputStream)」或「PreparedStatemet.setBytea(int, InputStream)」的預備陳述式會建立一個暫存檔案。Unix 等系統上的其他使用者可以讀取此檔案,而 MacOS 系統使用者無法讀取。在類似 Unix 的系統上,系統的暫存目錄會在該系統上的所有使用者之間共用。因此,將檔案和目錄寫入此目錄時,預設為相同系統上的其他使用者均可讀取這些檔案和目錄。此弱點不允許其他使用者覆寫這些目錄或檔案的內容。這完全是一個資訊洩漏弱點。特定 JDK 檔案系統 API 僅在 JDK 1.7 中新增,因此該修正依賴於您使用的 JDK 版本。Java 1.7 及更高版本的使用者:此弱點已在 4.5.0 中修正。Java 1.6 及更低版本的使用者:無可用的修補程式。如果您無法修補或無法在 Java 1.6 上執行,可藉由指定執行使用者專有目錄的「java.io.tmpdir」系統環境變數,來緩解此弱點。
(CVE-2022-41946)
- 在 2.14.0-rc1 之前的 FasterXML jackson-databind 中,啟用 UNWRAP_SINGLE_VALUE_ARRAYS 功能時,未檢查原始值還原序列化程式以避免深層包裝函式陣列巢狀,因此可能會發生資源耗盡問題。2.13.4.1 和 2.12.17.1 中的其他修正版本 (CVE-2022-42003)
- 在 2.13.4 之前的 FasterXML jackson-databind 中,因為 BeanDeserializer._deserializeFromArray 中缺少爲防止使用深層巢狀陣列而執行的檢查,因而會發生資源耗盡的情況。只有在使用某些自訂的還原序列化選項時,應用程式才容易受到攻擊。(CVE-2022-42004)
- Apache Commons Text 可執行變數插補,允許動態評估和擴展屬性。插補的標準格式為 ${prefix:name},其中 prefix 用於尋找執行插補的 org.apache.commons.text.lookup.StringLookup 執行個體。從 1.5 版直到 1.9 版,預設的 Lookup 執行個體組包含可導致任意程式碼執行或與遠端伺服器聯絡的內插程式。這些 Lookup 是:- script - 使用 JVM 指令碼執行引擎 (javax.script) 執行運算式 - dns - 解析 dns 記錄 - url - 從 url 載入值,包括從遠端伺服器載入。使用受影響版本中內插預設值的應用程式可能容易遭受遠端程式碼執行攻擊,或容易意外連線遠端伺服器 (如果使用未受信任的組態值)。建議使用者升級至 Apache Commons Text 1.10.0,該版本預設停用有問題的內插程式。(CVE-2022-42889)
- 在 Django 3.2 至 3.2.17、4.0 至 4.0.9 和 4.1 至 4.1.6 的版本中,Accept-Language 標頭的剖析值會被快取,以避免重複剖析。如果 Accept-Language 標頭的原始值非常大,這會透過過量的記憶體使用量導致潛在的拒絕服務向量。
(CVE-2023-23969)
- 在早於 3.2.18 的 3.2、早於 4.0.10 的 4.0 以及早於 4.1.7 的 4.1 版 Django 中,在多部分申請剖析器中發現一個問題。將特定輸入 (例如,過多的部分) 傳遞至多部分錶單可導致過多開啟的檔案或記憶體耗盡,並為拒絕服務攻擊提供潛在的向量。(CVE-2023-24580)
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
更新受影響的套件。另請參閱
https://bugzilla.redhat.com/show_bug.cgi?id=2149990
https://bugzilla.redhat.com/show_bug.cgi?id=2150009
https://bugzilla.redhat.com/show_bug.cgi?id=2150261
https://bugzilla.redhat.com/show_bug.cgi?id=2150311
https://bugzilla.redhat.com/show_bug.cgi?id=2150380
https://bugzilla.redhat.com/show_bug.cgi?id=2151333
https://bugzilla.redhat.com/show_bug.cgi?id=2151487
https://bugzilla.redhat.com/show_bug.cgi?id=2151564
https://bugzilla.redhat.com/show_bug.cgi?id=2151827
https://bugzilla.redhat.com/show_bug.cgi?id=2151838
https://bugzilla.redhat.com/show_bug.cgi?id=2151856
https://bugzilla.redhat.com/show_bug.cgi?id=2151935
https://bugzilla.redhat.com/show_bug.cgi?id=2152609
https://bugzilla.redhat.com/show_bug.cgi?id=2153234
https://bugzilla.redhat.com/show_bug.cgi?id=2153241
https://bugzilla.redhat.com/show_bug.cgi?id=2153262
https://bugzilla.redhat.com/show_bug.cgi?id=2153273
https://bugzilla.redhat.com/show_bug.cgi?id=2153399
https://bugzilla.redhat.com/show_bug.cgi?id=2153423
https://bugzilla.redhat.com/show_bug.cgi?id=2153701
https://bugzilla.redhat.com/show_bug.cgi?id=2153720
https://bugzilla.redhat.com/show_bug.cgi?id=2153744
https://bugzilla.redhat.com/show_bug.cgi?id=2153751
https://bugzilla.redhat.com/show_bug.cgi?id=2154184
https://bugzilla.redhat.com/show_bug.cgi?id=2154397
https://bugzilla.redhat.com/show_bug.cgi?id=2154512
https://bugzilla.redhat.com/show_bug.cgi?id=2154734
https://bugzilla.redhat.com/show_bug.cgi?id=2155221
https://bugzilla.redhat.com/show_bug.cgi?id=2155392
https://bugzilla.redhat.com/show_bug.cgi?id=2155527
https://bugzilla.redhat.com/show_bug.cgi?id=2155911
https://bugzilla.redhat.com/show_bug.cgi?id=2156294
https://bugzilla.redhat.com/show_bug.cgi?id=2156295
https://bugzilla.redhat.com/show_bug.cgi?id=2156941
https://bugzilla.redhat.com/show_bug.cgi?id=2157627
https://bugzilla.redhat.com/show_bug.cgi?id=2157869
https://bugzilla.redhat.com/show_bug.cgi?id=2158508
https://bugzilla.redhat.com/show_bug.cgi?id=2158519
https://bugzilla.redhat.com/show_bug.cgi?id=2158565
https://bugzilla.redhat.com/show_bug.cgi?id=2158614
https://bugzilla.redhat.com/show_bug.cgi?id=2158738
https://bugzilla.redhat.com/show_bug.cgi?id=2159776
https://bugzilla.redhat.com/show_bug.cgi?id=2159963
https://bugzilla.redhat.com/show_bug.cgi?id=2159967
https://bugzilla.redhat.com/show_bug.cgi?id=2159974
https://bugzilla.redhat.com/show_bug.cgi?id=2160008
https://bugzilla.redhat.com/show_bug.cgi?id=2160056
https://bugzilla.redhat.com/show_bug.cgi?id=2160112
https://bugzilla.redhat.com/show_bug.cgi?id=2160264
https://bugzilla.redhat.com/show_bug.cgi?id=2160297
https://bugzilla.redhat.com/show_bug.cgi?id=2160497
https://bugzilla.redhat.com/show_bug.cgi?id=2160508
https://bugzilla.redhat.com/show_bug.cgi?id=2160524
https://bugzilla.redhat.com/show_bug.cgi?id=2160528
https://bugzilla.redhat.com/show_bug.cgi?id=2160705
https://bugzilla.redhat.com/show_bug.cgi?id=2160752
https://bugzilla.redhat.com/show_bug.cgi?id=2161304
https://bugzilla.redhat.com/show_bug.cgi?id=2161776
https://bugzilla.redhat.com/show_bug.cgi?id=2162129
https://bugzilla.redhat.com/show_bug.cgi?id=2162130
https://bugzilla.redhat.com/show_bug.cgi?id=2162678
https://bugzilla.redhat.com/show_bug.cgi?id=2162736
https://bugzilla.redhat.com/show_bug.cgi?id=2163425
https://bugzilla.redhat.com/show_bug.cgi?id=2163456
https://bugzilla.redhat.com/show_bug.cgi?id=2163457
https://bugzilla.redhat.com/show_bug.cgi?id=2163577
https://bugzilla.redhat.com/show_bug.cgi?id=2163582
https://bugzilla.redhat.com/show_bug.cgi?id=2163788
https://bugzilla.redhat.com/show_bug.cgi?id=2164026
https://bugzilla.redhat.com/show_bug.cgi?id=2164080
https://bugzilla.redhat.com/show_bug.cgi?id=2164330
https://bugzilla.redhat.com/show_bug.cgi?id=2164413
https://bugzilla.redhat.com/show_bug.cgi?id=2164757
https://bugzilla.redhat.com/show_bug.cgi?id=2164989
https://bugzilla.redhat.com/show_bug.cgi?id=2165482
https://bugzilla.redhat.com/show_bug.cgi?id=2165848
https://bugzilla.redhat.com/show_bug.cgi?id=2165952
https://bugzilla.redhat.com/show_bug.cgi?id=2166244
https://bugzilla.redhat.com/show_bug.cgi?id=2166293
https://bugzilla.redhat.com/show_bug.cgi?id=2166303
https://bugzilla.redhat.com/show_bug.cgi?id=2166374
https://bugzilla.redhat.com/show_bug.cgi?id=2166424
https://bugzilla.redhat.com/show_bug.cgi?id=2166457
https://bugzilla.redhat.com/show_bug.cgi?id=2166964
https://bugzilla.redhat.com/show_bug.cgi?id=2166966
https://bugzilla.redhat.com/show_bug.cgi?id=2167685
https://bugzilla.redhat.com/show_bug.cgi?id=2168041
https://bugzilla.redhat.com/show_bug.cgi?id=2168096
https://bugzilla.redhat.com/show_bug.cgi?id=2168168
https://bugzilla.redhat.com/show_bug.cgi?id=2168254
https://bugzilla.redhat.com/show_bug.cgi?id=2168258
https://bugzilla.redhat.com/show_bug.cgi?id=2168330
https://bugzilla.redhat.com/show_bug.cgi?id=2168494
https://bugzilla.redhat.com/show_bug.cgi?id=2168679
https://bugzilla.redhat.com/show_bug.cgi?id=2168967
https://bugzilla.redhat.com/show_bug.cgi?id=2169299
https://bugzilla.redhat.com/show_bug.cgi?id=2169402
https://bugzilla.redhat.com/show_bug.cgi?id=2169633
https://bugzilla.redhat.com/show_bug.cgi?id=2169858
https://bugzilla.redhat.com/show_bug.cgi?id=2169866
https://bugzilla.redhat.com/show_bug.cgi?id=2170034
https://bugzilla.redhat.com/show_bug.cgi?id=2171399
https://bugzilla.redhat.com/show_bug.cgi?id=2172141
https://bugzilla.redhat.com/show_bug.cgi?id=2172540
https://bugzilla.redhat.com/show_bug.cgi?id=2172939
https://bugzilla.redhat.com/show_bug.cgi?id=2173570
https://bugzilla.redhat.com/show_bug.cgi?id=2173756
https://bugzilla.redhat.com/show_bug.cgi?id=2174734
https://bugzilla.redhat.com/show_bug.cgi?id=2174910
https://bugzilla.redhat.com/show_bug.cgi?id=2175226
https://bugzilla.redhat.com/show_bug.cgi?id=2180417
https://bugzilla.redhat.com/show_bug.cgi?id=2184018
https://errata.rockylinux.org/RLSA-2023:2097
https://bugzilla.redhat.com/show_bug.cgi?id=1225819
https://bugzilla.redhat.com/show_bug.cgi?id=1266407
https://bugzilla.redhat.com/show_bug.cgi?id=1630294
https://bugzilla.redhat.com/show_bug.cgi?id=1638226
https://bugzilla.redhat.com/show_bug.cgi?id=1650468
https://bugzilla.redhat.com/show_bug.cgi?id=1761012
https://bugzilla.redhat.com/show_bug.cgi?id=1786358
https://bugzilla.redhat.com/show_bug.cgi?id=1787456
https://bugzilla.redhat.com/show_bug.cgi?id=1813274
https://bugzilla.redhat.com/show_bug.cgi?id=1826648
https://bugzilla.redhat.com/show_bug.cgi?id=1837767
https://bugzilla.redhat.com/show_bug.cgi?id=1841534
https://bugzilla.redhat.com/show_bug.cgi?id=1845489
https://bugzilla.redhat.com/show_bug.cgi?id=1880947
https://bugzilla.redhat.com/show_bug.cgi?id=1888667
https://bugzilla.redhat.com/show_bug.cgi?id=1895976
https://bugzilla.redhat.com/show_bug.cgi?id=1920810
https://bugzilla.redhat.com/show_bug.cgi?id=1931027
https://bugzilla.redhat.com/show_bug.cgi?id=1931533
https://bugzilla.redhat.com/show_bug.cgi?id=1950468
https://bugzilla.redhat.com/show_bug.cgi?id=1952529
https://bugzilla.redhat.com/show_bug.cgi?id=1956210
https://bugzilla.redhat.com/show_bug.cgi?id=1956985
https://bugzilla.redhat.com/show_bug.cgi?id=1963266
https://bugzilla.redhat.com/show_bug.cgi?id=1964037
https://bugzilla.redhat.com/show_bug.cgi?id=1965871
https://bugzilla.redhat.com/show_bug.cgi?id=1978683
https://bugzilla.redhat.com/show_bug.cgi?id=1978995
https://bugzilla.redhat.com/show_bug.cgi?id=1990790
https://bugzilla.redhat.com/show_bug.cgi?id=1990875
https://bugzilla.redhat.com/show_bug.cgi?id=1995097
https://bugzilla.redhat.com/show_bug.cgi?id=1995470
https://bugzilla.redhat.com/show_bug.cgi?id=1997186
https://bugzilla.redhat.com/show_bug.cgi?id=1997199
https://bugzilla.redhat.com/show_bug.cgi?id=2026151
https://bugzilla.redhat.com/show_bug.cgi?id=2029402
https://bugzilla.redhat.com/show_bug.cgi?id=2032040
https://bugzilla.redhat.com/show_bug.cgi?id=2043600
https://bugzilla.redhat.com/show_bug.cgi?id=2050234
https://bugzilla.redhat.com/show_bug.cgi?id=2052904
https://bugzilla.redhat.com/show_bug.cgi?id=2056402
https://bugzilla.redhat.com/show_bug.cgi?id=2057314
https://bugzilla.redhat.com/show_bug.cgi?id=2060099
https://bugzilla.redhat.com/show_bug.cgi?id=2062526
https://bugzilla.redhat.com/show_bug.cgi?id=2063999
https://bugzilla.redhat.com/show_bug.cgi?id=2066323
https://bugzilla.redhat.com/show_bug.cgi?id=2069438
https://bugzilla.redhat.com/show_bug.cgi?id=2073847
https://bugzilla.redhat.com/show_bug.cgi?id=2077363
https://bugzilla.redhat.com/show_bug.cgi?id=2080296
https://bugzilla.redhat.com/show_bug.cgi?id=2080302
https://bugzilla.redhat.com/show_bug.cgi?id=2088156
https://bugzilla.redhat.com/show_bug.cgi?id=2088529
https://bugzilla.redhat.com/show_bug.cgi?id=2094912
https://bugzilla.redhat.com/show_bug.cgi?id=2098079
https://bugzilla.redhat.com/show_bug.cgi?id=2101708
https://bugzilla.redhat.com/show_bug.cgi?id=2102078
https://bugzilla.redhat.com/show_bug.cgi?id=2103936
https://bugzilla.redhat.com/show_bug.cgi?id=2104247
https://bugzilla.redhat.com/show_bug.cgi?id=2105067
https://bugzilla.redhat.com/show_bug.cgi?id=2105441
https://bugzilla.redhat.com/show_bug.cgi?id=2106475
https://bugzilla.redhat.com/show_bug.cgi?id=2106753
https://bugzilla.redhat.com/show_bug.cgi?id=2107011
https://bugzilla.redhat.com/show_bug.cgi?id=2107758
https://bugzilla.redhat.com/show_bug.cgi?id=2108997
https://bugzilla.redhat.com/show_bug.cgi?id=2109634
https://bugzilla.redhat.com/show_bug.cgi?id=2110551
https://bugzilla.redhat.com/show_bug.cgi?id=2111159
https://bugzilla.redhat.com/show_bug.cgi?id=2115970
https://bugzilla.redhat.com/show_bug.cgi?id=2116375
https://bugzilla.redhat.com/show_bug.cgi?id=2118651
https://bugzilla.redhat.com/show_bug.cgi?id=2119053
https://bugzilla.redhat.com/show_bug.cgi?id=2119155
https://bugzilla.redhat.com/show_bug.cgi?id=2119911
https://bugzilla.redhat.com/show_bug.cgi?id=2120640
https://bugzilla.redhat.com/show_bug.cgi?id=2121210
https://bugzilla.redhat.com/show_bug.cgi?id=2121288
https://bugzilla.redhat.com/show_bug.cgi?id=2122617
https://bugzilla.redhat.com/show_bug.cgi?id=2123593
https://bugzilla.redhat.com/show_bug.cgi?id=2123696
https://bugzilla.redhat.com/show_bug.cgi?id=2123835
https://bugzilla.redhat.com/show_bug.cgi?id=2123932
https://bugzilla.redhat.com/show_bug.cgi?id=2124419
https://bugzilla.redhat.com/show_bug.cgi?id=2124520
https://bugzilla.redhat.com/show_bug.cgi?id=2125424
https://bugzilla.redhat.com/show_bug.cgi?id=2125444
https://bugzilla.redhat.com/show_bug.cgi?id=2126200
https://bugzilla.redhat.com/show_bug.cgi?id=2126349
https://bugzilla.redhat.com/show_bug.cgi?id=2126372
https://bugzilla.redhat.com/show_bug.cgi?id=2126695
https://bugzilla.redhat.com/show_bug.cgi?id=2126789
https://bugzilla.redhat.com/show_bug.cgi?id=2126905
https://bugzilla.redhat.com/show_bug.cgi?id=2127180
https://bugzilla.redhat.com/show_bug.cgi?id=2127470
https://bugzilla.redhat.com/show_bug.cgi?id=2127998
https://bugzilla.redhat.com/show_bug.cgi?id=2128038
https://bugzilla.redhat.com/show_bug.cgi?id=2128256
https://bugzilla.redhat.com/show_bug.cgi?id=2128864
https://bugzilla.redhat.com/show_bug.cgi?id=2128894
https://bugzilla.redhat.com/show_bug.cgi?id=2129706
https://bugzilla.redhat.com/show_bug.cgi?id=2129707
https://bugzilla.redhat.com/show_bug.cgi?id=2129709
https://bugzilla.redhat.com/show_bug.cgi?id=2129710
https://bugzilla.redhat.com/show_bug.cgi?id=2129950
https://bugzilla.redhat.com/show_bug.cgi?id=2130596
https://bugzilla.redhat.com/show_bug.cgi?id=2130698
https://bugzilla.redhat.com/show_bug.cgi?id=2131312
https://bugzilla.redhat.com/show_bug.cgi?id=2131369
https://bugzilla.redhat.com/show_bug.cgi?id=2131839
https://bugzilla.redhat.com/show_bug.cgi?id=2132452
https://bugzilla.redhat.com/show_bug.cgi?id=2133343
https://bugzilla.redhat.com/show_bug.cgi?id=2133615
https://bugzilla.redhat.com/show_bug.cgi?id=2134283
https://bugzilla.redhat.com/show_bug.cgi?id=2134682
https://bugzilla.redhat.com/show_bug.cgi?id=2135244
https://bugzilla.redhat.com/show_bug.cgi?id=2135247
https://bugzilla.redhat.com/show_bug.cgi?id=2135418
https://bugzilla.redhat.com/show_bug.cgi?id=2135435
https://bugzilla.redhat.com/show_bug.cgi?id=2136130
https://bugzilla.redhat.com/show_bug.cgi?id=2137318
https://bugzilla.redhat.com/show_bug.cgi?id=2137350
https://bugzilla.redhat.com/show_bug.cgi?id=2137539
https://bugzilla.redhat.com/show_bug.cgi?id=2138887
https://bugzilla.redhat.com/show_bug.cgi?id=2139209
https://bugzilla.redhat.com/show_bug.cgi?id=2139418
https://bugzilla.redhat.com/show_bug.cgi?id=2139441
https://bugzilla.redhat.com/show_bug.cgi?id=2139545
https://bugzilla.redhat.com/show_bug.cgi?id=2140628
https://bugzilla.redhat.com/show_bug.cgi?id=2140807
https://bugzilla.redhat.com/show_bug.cgi?id=2141136
https://bugzilla.redhat.com/show_bug.cgi?id=2141187
https://bugzilla.redhat.com/show_bug.cgi?id=2141455
https://bugzilla.redhat.com/show_bug.cgi?id=2141719
https://bugzilla.redhat.com/show_bug.cgi?id=2141810
https://bugzilla.redhat.com/show_bug.cgi?id=2142514
https://bugzilla.redhat.com/show_bug.cgi?id=2142555
https://bugzilla.redhat.com/show_bug.cgi?id=2143451
https://bugzilla.redhat.com/show_bug.cgi?id=2143497
https://bugzilla.redhat.com/show_bug.cgi?id=2143515
https://bugzilla.redhat.com/show_bug.cgi?id=2143695
https://bugzilla.redhat.com/show_bug.cgi?id=2144044
https://bugzilla.redhat.com/show_bug.cgi?id=2147579
https://bugzilla.redhat.com/show_bug.cgi?id=2148433
https://bugzilla.redhat.com/show_bug.cgi?id=2148813
https://bugzilla.redhat.com/show_bug.cgi?id=2149030
https://bugzilla.redhat.com/show_bug.cgi?id=2149543
https://bugzilla.redhat.com/show_bug.cgi?id=2149730
Plugin 詳細資訊
嚴重性: Critical
ID: 175139
檔案名稱: rocky_linux_RLSA-2023-2097.nasl
版本: 1.2
類型: local
已發布: 2023/5/5
已更新: 2024/1/22
支援的感應器: Continuous Assessment, Nessus
風險資訊
VPR
風險因素: High
分數: 8.4
CVSS v2
風險因素: High
基本分數: 7.5
時間性分數: 6.2
媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS 評分資料來源: CVE-2022-33980
CVSS v3
風險因素: Critical
基本分數: 9.8
時間性分數: 9.1
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
時間媒介: CVSS:3.0/E:F/RL:O/RC:C
CVSS 評分資料來源: CVE-2022-42889
弱點資訊
CPE: p-cpe:/a:rocky:linux:libdb-sql-debuginfo, p-cpe:/a:rocky:linux:libdb-debugsource, p-cpe:/a:rocky:linux:libdb-cxx-debuginfo, p-cpe:/a:rocky:linux:libdb-debuginfo, p-cpe:/a:rocky:linux:libdb-cxx, p-cpe:/a:rocky:linux:libdb-utils-debuginfo, p-cpe:/a:rocky:linux:libdb-sql-devel-debuginfo, cpe:/o:rocky:linux:8
必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/RockyLinux/release, Host/RockyLinux/rpm-list
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2023/5/5
弱點發布日期: 2022/4/30
可惡意利用
Metasploit (Apache Commons Text RCE)
參考資訊
CVE: CVE-2022-1471, CVE-2022-22577, CVE-2022-23514, CVE-2022-23515, CVE-2022-23516, CVE-2022-23517, CVE-2022-23518, CVE-2022-23519, CVE-2022-23520, CVE-2022-25857, CVE-2022-27777, CVE-2022-31163, CVE-2022-32224, CVE-2022-33980, CVE-2022-38749, CVE-2022-38750, CVE-2022-38751, CVE-2022-38752, CVE-2022-41323, CVE-2022-41946, CVE-2022-42003, CVE-2022-42004, CVE-2022-42889, CVE-2023-23969, CVE-2023-24580