CentOS 9:cmake-3.20.2-8.el9
medium Nessus Plugin ID 191361
語系:
概要
遠端 CentOS 主機缺少 cmake 安全性更新。說明
遠端 CentOS Linux 9 主機上安裝的套件受到 cmake-3.20.2-8.el9 版本變更記錄中提及的弱點影響。-Git 是一款開放原始碼的可擴充分散式修訂控制系統。2.30.6、2.31.5、2.32.4、2.33.5、2.34.5、2.35.5、2.36.3 和 2.37.4 之前版本容易將敏感資訊洩漏給惡意執行者。執行本機複製時 (複製的來源和目標在同一個磁碟區),Git 會透過建立來源內容的永久連結或直接複製 (如果已透過「--no-hardlinks」停用永久連結),將來源的「$GIT_DIR/objects」目錄內容複製到目標位置。惡意執行者可誘騙受害者使用指向受害者計算機上敏感資訊的符號連結來複製存放庫。具體做法可以是讓受害者在同一計算機上複製惡意存放庫,若受害者使用「--recurse-submodules」選項進行複制,則讓他們透過任何來源的子模組,複製作為空白存放庫內嵌的惡意存放庫。
Git 不會在「$GIT_DIR/objects」目錄中建立符號連結。2022 年 10 月 18 日發佈的版本已修補此問題,並向後移植至 v2.30.x 版本。可能的因應措施:避免在共用計算機上使用「--local」最佳化複製不受信任的存放庫,方法是將「--no-local」選項傳遞給「git clone」,或從使用「file://」配置 URL 複製。或者,避免使用「--recurse-submodules」從不受信任的來源複製存放庫,或執行「git config --global protocol.file.allow user」。(CVE-2022-39253)
請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
更新 CentOS 9 Stream cmake 套件。另請參閱
https://kojihub.stream.centos.org/koji/buildinfo?buildID=29910
Plugin 詳細資訊
嚴重性: Medium
ID: 191361
檔案名稱: centos9_cmake-3_20_2-8.nasl
版本: 1.1
類型: local
代理程式: unix
已發布: 2024/2/29
已更新: 2024/4/26
支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Agentless Assessment, Nessus
風險資訊
VPR
風險因素: Medium
分數: 4.4
CVSS v2
風險因素: Medium
基本分數: 4.9
時間分數: 3.6
媒介: CVSS2#AV:L/AC:L/Au:N/C:C/I:N/A:N
CVSS 評分資料來源: CVE-2022-39253
CVSS v3
風險因素: Medium
基本分數: 5.5
時間分數: 4.8
媒介: CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: cpe:/a:centos:centos:9, p-cpe:/a:centos:centos:cmake, p-cpe:/a:centos:centos:cmake-data, p-cpe:/a:centos:centos:cmake-doc, p-cpe:/a:centos:centos:cmake-filesystem, p-cpe:/a:centos:centos:cmake-gui, p-cpe:/a:centos:centos:cmake-rpm-macros
必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/CentOS/release, Host/CentOS/rpm-list
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2023/1/31
弱點發布日期: 2022/10/18
參考資訊
CVE: CVE-2022-39253