Rocky Linux 8container-tools:rhel8 (RLSA-2020:4694)
medium Nessus Plugin ID 185064
語言:
概要
遠端 Rocky Linux 主機缺少一個或多個安全性更新。說明
遠端 Rocky Linux 8 主機已安裝受到多個弱點影響的套件如 RLSA-2020:4694 公告中所提及。- 在 containernetworking/plugins 0.8.6 之前的所有版本中發現一個弱點,它允許 Kubernetes 叢集中的惡意容器執行攔截式 (MitM) 攻擊。惡意容器可利用此弱點,將惡意 IPv6 路由器廣告傳送至主機或其他容器,將流量重新導向至惡意容器。(CVE-2020-10749)
- 在 QEMU 模擬器的 SLiRP 網路實作中發現一個超出邊界讀取弱點。
在回覆 ICMP echo 要求 (又稱為 ping) 時,icmp6_send_echoreply() 常式中會出現此缺陷。惡意來賓可以利用此缺陷洩漏主機記憶體的內容,進而可能導致資訊洩漏。此缺陷會影響 libslirp 4.3.1 之前的版本。(CVE-2020-10756)
- 0.3.3 之前的 x / text 套件 (適用於 Go) 在編碼/unicode 中有一個弱點,可導致 UTF-16 解碼器進入無限迴圈,進而造成程式損毀或記憶體不足。如果呼叫解碼器上的字串函式,或將解碼器傳遞至 golang.org/x/text/transform.String,則攻擊者可提供單一位元組給透過 UseBOM 或 ExpectBOM 具現化的 UTF16 解碼器,以觸發無限迴圈。(CVE-2020-14040)
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
更新受影響的套件。另請參閱
https://errata.rockylinux.org/RLSA-2020:4694
https://bugzilla.redhat.com/show_bug.cgi?id=1682970
https://bugzilla.redhat.com/show_bug.cgi?id=1752079
https://bugzilla.redhat.com/show_bug.cgi?id=1785242
https://bugzilla.redhat.com/show_bug.cgi?id=1800815
https://bugzilla.redhat.com/show_bug.cgi?id=1801874
https://bugzilla.redhat.com/show_bug.cgi?id=1804193
https://bugzilla.redhat.com/show_bug.cgi?id=1804195
https://bugzilla.redhat.com/show_bug.cgi?id=1813845
https://bugzilla.redhat.com/show_bug.cgi?id=1814928
https://bugzilla.redhat.com/show_bug.cgi?id=1818694
https://bugzilla.redhat.com/show_bug.cgi?id=1821193
https://bugzilla.redhat.com/show_bug.cgi?id=1822038
https://bugzilla.redhat.com/show_bug.cgi?id=1825789
https://bugzilla.redhat.com/show_bug.cgi?id=1827794
https://bugzilla.redhat.com/show_bug.cgi?id=1833220
https://bugzilla.redhat.com/show_bug.cgi?id=1835986
https://bugzilla.redhat.com/show_bug.cgi?id=1837755
https://bugzilla.redhat.com/show_bug.cgi?id=1847544
https://bugzilla.redhat.com/show_bug.cgi?id=1849557
https://bugzilla.redhat.com/show_bug.cgi?id=1850230
https://bugzilla.redhat.com/show_bug.cgi?id=1853230
https://bugzilla.redhat.com/show_bug.cgi?id=1853652
https://bugzilla.redhat.com/show_bug.cgi?id=1857606
https://bugzilla.redhat.com/show_bug.cgi?id=1858862
https://bugzilla.redhat.com/show_bug.cgi?id=1860126
https://bugzilla.redhat.com/show_bug.cgi?id=1866153
https://bugzilla.redhat.com/show_bug.cgi?id=1866833
https://bugzilla.redhat.com/show_bug.cgi?id=1867447
https://bugzilla.redhat.com/show_bug.cgi?id=1868612
https://bugzilla.redhat.com/show_bug.cgi?id=1872263
Plugin 詳細資訊
嚴重性: Medium
ID: 185064
檔案名稱: rocky_linux_RLSA-2020-4694.nasl
版本: 1.0
類型: local
已發布: 2023/11/7
已更新: 2023/11/7
支援的感應器: Continuous Assessment, Nessus
風險資訊
VPR
風險因素: Medium
分數: 4.9
CVSS v2
風險因素: Medium
基本分數: 6
時間性分數: 4.7
媒介: CVSS2#AV:N/AC:M/Au:S/C:P/I:P/A:P
CVSS 評分資料來源: CVE-2020-10749
CVSS v3
風險因素: Medium
基本分數: 6.5
時間性分數: 5.9
媒介: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N
時間媒介: CVSS:3.0/E:P/RL:O/RC:C
CVSS 評分資料來源: CVE-2020-10756
弱點資訊
CPE: p-cpe:/a:rocky:linux:libslirp-devel, p-cpe:/a:rocky:linux:libslirp, p-cpe:/a:rocky:linux:libslirp-debuginfo, p-cpe:/a:rocky:linux:python-podman-api, p-cpe:/a:rocky:linux:toolbox, p-cpe:/a:rocky:linux:libslirp-debugsource, cpe:/o:rocky:linux:8
必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/RockyLinux/release, Host/RockyLinux/rpm-list
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2020/11/3
弱點發布日期: 2020/6/3