Amazon Linux 2023:apache-ivy、apache-ivy-javadoc (ALAS2023-2023-336)

high Nessus Plugin ID 181136

概要

遠端 Amazon Linux 2023 主機缺少一個安全性更新。

說明

因此,它受到 ALAS2023-2023-336 公告中提及的一個弱點影響。

- Apache Software Foundation Apache Ivy 中存在不當限制 XML 外部實體參照弱點,即 XML 插入 (又名盲目式 XPath 插入) 弱點。此問題會影響 2.5.2 之前的所有 Apache Ivy 版本。2.5.2 版之前的 Apache Ivy 在剖析 XML 檔案 (其本身的組態、Ivy 檔案或 Apache Maven POM) 時,將允許下載外部文件類型定義,並在使用時展開其中包含的任何實體參照。該弱點可用於洩漏資料、存取僅執行 Ivy 的機器可存取的資源,或以不同方式乾擾 Ivy 的執行。從 Ivy 2.5.2 版開始,DTD 處理會依預設停用,剖析 Maven POM 時除外,預設的行為是允許 DTD 處理,但僅包含 Ivy 隨附的 DTD 程式碼片段,該片段是處理現有 Maven POM 所必需的片段,但其不是有效的 XML 檔案,不過仍會被 Maven 接受。必要時,可透過新引入的系統內容,使存取權更寬鬆。2.5.2 版之前的 Ivy 使用者可使用 Java 系統屬性來限制外部 DTD 的處理,詳情請參閱《Oracle Java API for XML Processing (JAXP) 安全性指南》中關於外部存取 JAXP 屬性限制一節。
(CVE-2022-46751)

請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

執行「dnf update apache-ivy --releasever 2023.1.20230906」以更新系統。

另請參閱

https://alas.aws.amazon.com/AL2023/ALAS-2023-336.html

https://alas.aws.amazon.com/cve/html/CVE-2022-46751.html

https://alas.aws.amazon.com/faqs.html

Plugin 詳細資訊

嚴重性: High

ID: 181136

檔案名稱: al2023_ALAS2023-2023-336.nasl

版本: 1.2

類型: local

代理程式: unix

已發布: 2023/9/8

已更新: 2023/12/25

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.0

CVSS v2

風險因素: High

基本分數: 8.5

時間分數: 6.3

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:N/A:P

CVSS 評分資料來源: CVE-2022-46751

CVSS v3

風險因素: High

基本分數: 8.2

時間分數: 7.1

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:L

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:amazon:linux:apache-ivy, p-cpe:/a:amazon:linux:apache-ivy-javadoc, cpe:/o:amazon:linux:2023

必要的 KB 項目: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2023/8/31

弱點發布日期: 2023/8/21

參考資訊

CVE: CVE-2022-46751