偵測

CentOS 8:webkit2gtk3 (CESA-2023: 7055)

critical Nessus Plugin ID 185649

語系:

概要

遠端 CentOS 主機缺少一個或多個安全性更新。

說明

遠端 CentOS Linux 8 主機上安裝的套件受到 CESA-2023: 7055 公告中提及的多個弱點影響。

 - 已透過改進驗證解決一個記憶體損毀問題。iOS 15.6 和 iPadOS 15.6、macOS Monterey 12.5、Safari 15.6 中已修正此問題。處理惡意特製的網路內容可能會導致任意程式碼執行。(CVE-2022-32885)

 - 已透過改進狀態管理解決了此問題。已在 macOS Ventura 13.3、Safari 16.4、iOS 16.4 和 iPadOS 16.4、tvOS 16.4、watchOS 9.4 中修正此問題。處理惡意特製的 Web 內容可能會繞過同源原則。(CVE-2023-27932)

 - 已透過移除來源資訊解決此問題。已在 macOS Ventura 13.3、Safari 16.4、iOS 16.4 和 iPadOS 16.4、iOS 15.7.4 和 iPadOS 15.7.4、tvOS 16.4、watchOS 9.4 中修正此問題。網站或許能夠追蹤敏感的使用者資訊。(CVE-2023-27954)

 - 已透過改進記憶體管理解決釋放後使用問題。已在 iOS 16.4、iPadOS 16.4 和 macOS Ventura 13.3 版中修正此問題。處理網路內容可能會導致任意程式碼執行。
 (CVE-2023-28198)

 - 透過改進驗證解決了一個邏輯問題。已在 macOS Ventura 13.3 中修正此問題。內容安全性原則可能無法封鎖包含萬用字元的網域。(CVE-2023-32370)

 - 已透過改善記憶體處理解決此問題。已在 watchOS 9.3、tvOS 16.3、macOS Ventura 13.2、iOS 16.3 和 iPadOS 16.3 中修正此問題。處理網路內容可能會導致任意程式碼執行。
 (CVE-2023-32393)

 - 已透過改進檢查解決此問題。已在 iOS 15.7.8 和 iPadOS 15.7.8、iOS 16.6 和 iPadOS 16.6、tvOS 16.6、macOS Ventura 13.5、Safari 16.6、watchOS 9.6 中修正此問題。處理 Web 內容可能導致敏感資訊洩漏。(CVE-2023-38133)

 - 已透過改進檢查解決此問題。已在 iOS 15.7.8 和 iPadOS 15.7.8、iOS 16.6 和 iPadOS 16.6、tvOS 16.6、macOS Ventura 13.5、Safari 16.6、watchOS 9.6 中修正此問題。網站或許能夠繞過同源原則。(CVE-2023-38572)

 - 已透過改進限制解決一個邏輯問題。已在 iOS 16.6 和 iPadOS 16.6、watchOS 9.6、tvOS 16.6、macOS Ventura 13.5 中修正此問題。處理網路內容可能會導致任意程式碼執行。
 (CVE-2023-38592)

 - 已透過改進檢查解決此問題。已在 iOS 15.7.8 和 iPadOS 15.7.8、iOS 16.6 和 iPadOS 16.6、tvOS 16.6、macOS Ventura 13.5、Safari 16.6、watchOS 9.6 中修正此問題。處理網路內容可能會導致任意程式碼執行。(CVE-2023-38594)

 - 已透過改進檢查解決此問題。已在 iOS 16.6 和 iPadOS 16.6、tvOS 16.6、macOS Ventura 13.5、Safari 16.6、watchOS 9.6 中修正此問題。處理網路內容可能會導致任意程式碼執行。
 (CVE-2023-38595, CVE-2023-38600)

 - 已透過改進檢查解決此問題。已在 iOS 15.7.8 和 iPadOS 15.7.8、iOS 16.6 和 iPadOS 16.6、macOS Ventura 13.5、Safari 16.6 中修正此問題。處理網路內容可能會導致任意程式碼執行。(CVE-2023-38597)

 - 已透過改進狀態管理解決一個邏輯問題。已在 Safari 16.6、watchOS 9.6、iOS 15.7.8 和 iPadOS 15.7.8、tvOS 16.6、iOS 16.6 和 iPadOS 16.6、macOS Ventura 13.5 中修正此問題。網站或許能夠追蹤敏感的使用者資訊。(CVE-2023-38599)

 - 已透過改善記憶體處理解決此問題。已在 iOS 16.6 和 iPadOS 16.6、tvOS 16.6、macOS Ventura 13.5、Safari 16.6、watchOS 9.6 中修正此問題。處理網路內容可能會導致任意程式碼執行。(CVE-2023-38611)

 - 已透過改進記憶體管理解決釋放後使用問題。此問題已在 iOS 17 和 iPadOS 17、watchOS 10、macOS Sonoma 14 中修正。處理網路內容可能會導致任意程式碼執行。
 (CVE-2023-39434)

 - 已透過改進檢查解決此問題。已在 macOS Ventura 13.5 中修正此問題。遠端攻擊者或可造成任意 javascript 程式碼執行。(CVE-2023-40397)

 - 已透過改進 iframe 沙箱強制執行解決此問題。已在 Safari 17 中修正此問題。具有 JavaScript 執行權限的攻擊者或可執行任意程式碼。(CVE-2023-40451)

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新受影響的套件。

另請參閱

https://access.redhat.com/errata/RHSA-2023:7055

Plugin 詳細資訊

嚴重性: Critical

ID: 185649

檔案名稱: centos8_RHSA-2023-7055.nasl

版本: 1.0

類型: local

代理程式: unix

已發布: 2023/11/14

已更新: 2023/11/14

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Agentless Assessment, Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.7

CVSS v2

風險因素: Critical

基本分數: 10

時間分數: 7.4

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 評分資料來源: CVE-2023-40451

CVSS v3

風險因素: Critical

基本分數: 9.8

時間分數: 8.5

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

CVSS 評分資料來源: CVE-2023-40397

弱點資訊

CPE: p-cpe:/a:centos:centos:webkit2gtk3-jsc, p-cpe:/a:centos:centos:webkit2gtk3, cpe:/o:centos:centos:8-stream, p-cpe:/a:centos:centos:webkit2gtk3-jsc-devel, p-cpe:/a:centos:centos:webkit2gtk3-devel

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/CentOS/release, Host/CentOS/rpm-list

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2023/11/14

弱點發布日期: 2023/3/27

參考資訊

CVE: CVE-2022-32885, CVE-2023-27932, CVE-2023-27954, CVE-2023-28198, CVE-2023-32370, CVE-2023-32393, CVE-2023-38133, CVE-2023-38572, CVE-2023-38592, CVE-2023-38594, CVE-2023-38595, CVE-2023-38597, CVE-2023-38599, CVE-2023-38600, CVE-2023-38611, CVE-2023-39434, CVE-2023-40397, CVE-2023-40451

RHSA: 2023:7055