偵測

RHCOS 4:Red Hat OpenShift Enterprise (RHSA-2023: 3910)

critical Nessus Plugin ID 189445

語系:

概要

遠端 Red Hat CoreOS 主機缺少一個或多個適用於 Red Hat OpenShift Enterprise 的安全性更新。

說明

遠端 Red Hat Enterprise Linux CoreOS 4 主機上安裝的套件受到 RHSA-2023: 3910 公告中提及的多個弱點影響。

 - 攻擊者可在接受 HTTP/2 要求的 Go 伺服器中造成記憶體過度增長。HTTP/2 伺服器連線包含用戶端傳送的 HTTP 標頭金鑰快取。雖然此快取中的項目總數設有上限,但攻擊者如果傳送非常大的金鑰,即可造成伺服器為每個開啟的連線配置大約 64 MiB。(CVE-2022-41717)

 - 並非所有有效的 JavaScript 空白字元都被視為空白字元。在 JavaScript 內容中,在字元集 \t\n\f\r\u0020\u2028\u2029 之外,包含其他空白字元和動作的範本可能無法在執行期間正確清理。(CVE-2023-24540)

 - 在 Red Hat OpenShift Container Platform 中發現合規性問題。Red Hat 發現,FIPS 模式啟用時,並非所有使用中的密碼編譯模組都要經過 FIPS 驗證。(CVE-2023-3089)

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新 RHCOS Red Hat OpenShift Enterprise 套件,依據 RHSA-2023: 3910 中的指南。

另請參閱

https://access.redhat.com/security/cve/CVE-2022-41717

https://access.redhat.com/security/cve/CVE-2023-3089

https://access.redhat.com/security/cve/CVE-2023-24540

https://access.redhat.com/errata/RHSA-2023:3910

Plugin 詳細資訊

嚴重性: Critical

ID: 189445

檔案名稱: rhcos-RHSA-2023-3910.nasl

版本: 1.0

類型: local

代理程式: unix

已發布: 2024/1/24

已更新: 2024/1/24

支援的感應器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: Critical

基本分數: 10

時間分數: 7.4

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 評分資料來源: CVE-2023-24540

CVSS v3

風險因素: Critical

基本分數: 9.8

時間分數: 8.5

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: cpe:/o:redhat:enterprise_linux:7:coreos, cpe:/o:redhat:enterprise_linux:8:coreos, p-cpe:/a:redhat:enterprise_linux:containers-common, p-cpe:/a:redhat:enterprise_linux:openshift-hyperkube, p-cpe:/a:redhat:enterprise_linux:podman, p-cpe:/a:redhat:enterprise_linux:podman-catatonit, p-cpe:/a:redhat:enterprise_linux:podman-docker, p-cpe:/a:redhat:enterprise_linux:podman-plugins, p-cpe:/a:redhat:enterprise_linux:podman-remote, p-cpe:/a:redhat:enterprise_linux:podman-tests, p-cpe:/a:redhat:enterprise_linux:skopeo, p-cpe:/a:redhat:enterprise_linux:skopeo-tests

必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2023/7/6

弱點發布日期: 2022/12/6

參考資訊

CVE: CVE-2022-41717, CVE-2023-24540, CVE-2023-3089

CWE: 166, 176, 693, 770

RHSA: 2023:3910