偵測

Ubuntu 18.04 ESM / 20.04 LTS / 22.04 LTS / 23.04 / 23.10:要求追蹤器弱點 (USN-6529-1)

high Nessus Plugin ID 186541

語系:

概要

遠端 Ubuntu 主機缺少一個或多個安全性更新。

說明

遠端 Ubuntu 18.04 ESM/20.04 LTS/22.04 LTS/23.04/23.10 主機上安裝的多個套件受到 USN-6529-1 公告中提及的多個弱點影響。

 - Best Practical Request Tracker (RT) 4.2.17 之前的 4.2、 4.4.5 之前的 4.4 和 5.0.2 之前的 5.0 允許透過針對 lib/RT/REST2/Middleware/Auth.pm 的定時攻擊洩漏敏感資訊。
 (CVE-2021-38562)

 - Best Practical Request Tracker (RT) 4.4.6 之前版本以及 5.0.3 之前的 5.x 版允許攻擊者透過特別構建的附件內容類型觸發 XSS 攻擊。(CVE-2022-25802)

 - 4.4.7 之前的 Best Practical Request Tracker (RT) 版本和 5.0.5 之前的 5.x 允許使用者透過電子郵件訊息或電子郵件閘道 REST API 呼叫中假的或偽造的 RT 電子郵件標頭洩漏資訊。(CVE-2023-41259)

 - 4.4.7 之前的 Best Practical Request Tracker (RT) 版本和 5.0.5 之前的 5.x 允許使用者洩漏資訊,以回應電子郵件閘道 REST API 呼叫。(CVE-2023-41260)

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新受影響的套件。

另請參閱

https://ubuntu.com/security/notices/USN-6529-1

Plugin 詳細資訊

嚴重性: High

ID: 186541

檔案名稱: ubuntu_USN-6529-1.nasl

版本: 1.0

類型: local

代理程式: unix

已發布: 2023/12/4

已更新: 2023/12/4

支援的感應器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

風險資訊

VPR

風險因素: Low

分數: 3.6

CVSS v2

風險因素: Medium

基本分數: 5

時間分數: 3.7

媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N

CVSS 評分資料來源: CVE-2021-38562

CVSS v3

風險因素: High

基本分數: 7.5

時間分數: 6.5

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

CVSS 評分資料來源: CVE-2023-41260

弱點資訊

CPE: cpe:/o:canonical:ubuntu_linux:18.04:-:esm, cpe:/o:canonical:ubuntu_linux:20.04:-:lts, cpe:/o:canonical:ubuntu_linux:22.04:-:lts, cpe:/o:canonical:ubuntu_linux:23.04, cpe:/o:canonical:ubuntu_linux:23.10, p-cpe:/a:canonical:ubuntu_linux:request-tracker4, p-cpe:/a:canonical:ubuntu_linux:rt4-apache2, p-cpe:/a:canonical:ubuntu_linux:rt4-clients, p-cpe:/a:canonical:ubuntu_linux:rt4-db-mysql, p-cpe:/a:canonical:ubuntu_linux:rt4-db-postgresql, p-cpe:/a:canonical:ubuntu_linux:rt4-db-sqlite, p-cpe:/a:canonical:ubuntu_linux:rt4-fcgi, p-cpe:/a:canonical:ubuntu_linux:rt4-standalone

必要的 KB 項目: Host/cpu, Host/Ubuntu, Host/Ubuntu/release, Host/Debian/dpkg-l

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2023/12/4

弱點發布日期: 2021/10/18

參考資訊

CVE: CVE-2021-38562, CVE-2022-25802, CVE-2023-41259, CVE-2023-41260

USN: 6529-1