偵測

Oracle Linux 9:webkit2gtk3 (ELSA-2024-2126)

critical Nessus Plugin ID 195042

語系:

概要

遠端 Oracle Linux 主機缺少一個或多個安全性更新。

說明

遠端 Oracle Linux 9 主機中安裝的套件受到 ELSA-2024-2126 公告中提及的多個弱點影響。

 - 在用於 Google Chrome 35.0.1916.114 之前版本的 Blink 中的 SVG 實作中,遠端攻擊者可利用釋放後使用弱點,透過觸發移除 SVGFontFaceElement 物件 (與 core/svg/SVGFontFaceElement.cp 相關) 的向量造成拒絕服務,或可能帶來其他不明影響。(CVE-2014-1745)

 - 已透過改善記憶體處理解決此問題。已在 macOS Sonoma 14.1、Safari 17.1、iOS 16.7.2 和 iPadOS 16.7.2、iOS 17.1 和 iPadOS 17.1 中修正此問題。處理 Web 內容可能會導致拒絕服務。(CVE-2023-41983)

 - Webkit WebKitGTK 2.40.5 的 MediaRecorder API 存在一個釋放後使用弱點。特製的網頁可濫用此弱點造成記憶體損毀,且可能造成任意程式碼執行。使用者必須造訪惡意網頁,才能觸發此弱點。
 (CVE-2023-39928)

 - 已透過改善記憶體處理解決此問題。已在 watchOS 10.3、tvOS 17.3、iOS 17.3、iPadOS 17.3、macOS Sonoma 14.3、iOS 16.7.5、iPadOS 16.7.5、Safari 17.3 中修正此問題。處理網路內容可能會導致任意程式碼執行。(CVE-2024-23213)

 - 已透過改進存取限制解決存取問題。已在 watchOS 10.3、tvOS 17.3、iOS 17.3、iPadOS 17.3、macOS Sonoma 14.3、iOS 16.7.5、iPadOS 16.7.5、Safari 17.3 中修正此問題。惡意特製的網頁可能會識別使用者。(CVE-2024-23206)

 - 已透過改進記憶體管理解決釋放後使用問題。此問題已在 watchOS 10、iOS 17 和 iPadOS 17、tvOS 17、macOS Sonoma 14、Safari 17 中修正。處理網路內容可能會導致任意程式碼執行。(CVE-2023-40414)

 - 已透過改善敏感資訊的編輯解決此問題。此問題已在 iOS 16.7.2 和 iPadOS 16.7.2 中修正。VoiceOver 可能會讀出使用者的密碼。(CVE-2023-32359)

 - 已透過改善記憶體處理解決此問題。已在 Safari 17.2、macOS Sonoma 14.2、watchOS 10.2、iOS 17.2 和 iPadOS 17.2、tvOS 17.2 中修正此問題。處理網路內容可能會導致任意程式碼執行。(CVE-2023-42890)

 - 已透過改善記憶體處理解決此問題。已在 Safari 17.2、macOS Sonoma 14.2、iOS 17.2 和 iPadOS 17.2、watchOS 10.2、tvOS 17.2、iOS 16.7.3 and iPadOS 16.7.3 中修正此問題。處理影像可能會導致拒絕服務。(CVE-2023-42883)

 - 已透過改進檢查解決邏輯問題。已在 iOS 17.1 和 iPadOS 17.1、watchOS 10.1、iOS 16.7.2 和 iPadOS 16.7.2、macOS Sonoma 14.1、Safari 17.1、tvOS 17.1 中修正此問題。處理網路內容可能會導致任意程式碼執行。(CVE-2023-42852)

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新受影響的套件。

另請參閱

https://linux.oracle.com/errata/ELSA-2024-2126.html

Plugin 詳細資訊

嚴重性: Critical

ID: 195042

檔案名稱: oraclelinux_ELSA-2024-2126.nasl

版本: 1.0

類型: local

代理程式: unix

已發布: 2024/5/6

已更新: 2024/5/6

支援的感應器: Frictionless Assessment Agent, Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.7

CVSS v2

風險因素: High

基本分數: 7.5

時間分數: 5.5

媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 評分資料來源: CVE-2014-1745

CVSS v3

風險因素: Critical

基本分數: 9.8

時間分數: 8.5

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

CVSS 評分資料來源: CVE-2023-40414

弱點資訊

CPE: cpe:/a:oracle:linux:9:4:appstream_base, cpe:/a:oracle:linux:9::appstream, cpe:/o:oracle:linux:9, p-cpe:/a:oracle:linux:webkit2gtk3, p-cpe:/a:oracle:linux:webkit2gtk3-devel, p-cpe:/a:oracle:linux:webkit2gtk3-jsc, p-cpe:/a:oracle:linux:webkit2gtk3-jsc-devel

必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/OracleLinux

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2024/5/2

弱點發布日期: 2014/5/20

參考資訊

CVE: CVE-2014-1745, CVE-2023-32359, CVE-2023-39928, CVE-2023-40414, CVE-2023-41983, CVE-2023-42852, CVE-2023-42883, CVE-2023-42890, CVE-2024-23206, CVE-2024-23213

IAVB: 2014-B-0060-S