RHEL 8:OpenShift Container Platform 4.8.56 (RHSA-2023:0017)
high Nessus Plugin ID 194338
語系:
概要
遠端 Red Hat 主機缺少一個或多個適用於 OpenShift Container Platform 4.8.56 的安全性更新。說明
遠端 Redhat Enterprise Linux 8 主機上安裝的多個套件受到 RHSA-2023:0017 公告中提及的多個弱點影響。- http2-server:無效的 HTTP/2 要求造成 DoS 弱點 (CVE-2022-2048)
- Pipeline Shared Groovy 程式庫:不受信任的使用者可修改 Pipeline Shared Groovy 程式庫 Plugin 中的部分 Pipeline 程式庫 (CVE-2022-29047)
- Jenkins plugin:透過 Pipeline: Groovy Plugin 中隱含列入允許清單的平台 Groovy 檔案的沙箱繞過弱點 (CVE-2022-30945)
- Jenkins plugin:指令碼安全性 Plugin 中的 CSRF 弱點 (CVE-2022-30946)
- Jenkins plugin:Mercurial SCM plugin 可從控制器檔案系統簽出 (CVE-2022-30948)
- Jenkins plugin:藉由 Pipeline SCM API for BlueOcean Plugin 將使用者範圍內的認證洩漏給其他使用者 (CVE-2022-30952)
- Jenkins plugin:Blue Ocean Plugin 中的 CSRF 弱點 (CVE-2022-30953)
- Jenkins plugin:Blue Ocean Plugin 中缺少權限檢查 (CVE-2022-30954)
- jenkins:可觀察到的定時差異允許判斷使用者名稱的有效性 (CVE-2022-34174)
- jenkins-plugin/junit:JUnit Plugin 中的已儲存 XSS 弱點 (CVE-2022-34176)
- jenkins-plugin:Pipeline Input Step 外掛程式中的任意檔案寫入弱點 (CVE-2022-34177)
- jenkins-plugin:org.jenkins-ci.plugins:git-client 中的中間人 (MitM) 攻擊 (CVE-2022-36881)
- Jenkins plugin:org.jenkins-ci.plugins:git 中的跨網站請求偽造 (CSRF) (CVE-2022-36882)
- Jenkins plugin:Git Plugin webhook 中缺少驗證機制 (CVE-2022-36883、 CVE-2022-36884)
- Jenkins plugin:Blue Ocean Plugin 中的非常數時間 webhook 簽章比較 (CVE-2022-36885)
請注意,Nessus 並未測試這些問題,而是僅根據應用程式自我報告的版本號碼作出判斷。
解決方案
根據 RHSA-2023:0017 中的指引更新 RHEL OpenShift Container Platform 4.8.56 套件。另請參閱
https://access.redhat.com/security/updates/classification/#important
https://bugzilla.redhat.com/show_bug.cgi?id=2074855
https://bugzilla.redhat.com/show_bug.cgi?id=2103548
https://bugzilla.redhat.com/show_bug.cgi?id=2103551
https://bugzilla.redhat.com/show_bug.cgi?id=2114755
https://bugzilla.redhat.com/show_bug.cgi?id=2116840
https://bugzilla.redhat.com/show_bug.cgi?id=2116952
https://bugzilla.redhat.com/show_bug.cgi?id=2119642
https://bugzilla.redhat.com/show_bug.cgi?id=2119643
https://bugzilla.redhat.com/show_bug.cgi?id=2119644
https://bugzilla.redhat.com/show_bug.cgi?id=2119645
https://bugzilla.redhat.com/show_bug.cgi?id=2119646
https://bugzilla.redhat.com/show_bug.cgi?id=2119647
https://bugzilla.redhat.com/show_bug.cgi?id=2119653
https://bugzilla.redhat.com/show_bug.cgi?id=2119656
https://bugzilla.redhat.com/show_bug.cgi?id=2119657
https://bugzilla.redhat.com/show_bug.cgi?id=2119658
Plugin 詳細資訊
嚴重性: High
ID: 194338
檔案名稱: redhat-RHSA-2023-0017.nasl
版本: 1.0
類型: local
代理程式: unix
已發布: 2024/4/28
已更新: 2024/4/28
支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
風險資訊
VPR
風險因素: Medium
分數: 6.5
CVSS v2
風險因素: Medium
基本分數: 6.8
時間分數: 5
媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
CVSS 評分資料來源: CVE-2022-30945
CVSS v3
風險因素: High
基本分數: 8.8
時間分數: 7.7
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
CVSS 評分資料來源: CVE-2022-36882
弱點資訊
CPE: cpe:/o:redhat:enterprise_linux:8, p-cpe:/a:redhat:enterprise_linux:jenkins, p-cpe:/a:redhat:enterprise_linux:jenkins-2-plugins
必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2023/1/12
弱點發布日期: 2022/4/12
參考資訊
CVE: CVE-2022-2048, CVE-2022-29047, CVE-2022-30945, CVE-2022-30946, CVE-2022-30948, CVE-2022-30952, CVE-2022-30953, CVE-2022-30954, CVE-2022-34174, CVE-2022-34176, CVE-2022-34177, CVE-2022-36881, CVE-2022-36882, CVE-2022-36883, CVE-2022-36884, CVE-2022-36885