偵測

Azure Linux 3.0 安全性更新cert-manager / cf-cli / docker-buildx / docker-compose / moby-compose / moby-engine / packer (CVE-2024-45337)

critical Nessus Plugin ID 215502

語言:

概要

遠端 Azure Linux 主機缺少一個或多個安全性更新。

說明

遠端 Azure Linux 3.0 主機上安裝的 cert-manager / cf-cli / docker-buildx / docker-compose / moby-compose / moby-engine / packer 版本比測試版舊。因此,此版本會受到 CVE-2024-45337 公告中提及的一個弱點影響。

 - 應用程式和程式庫誤用 connection.serverAuthenticate (透過回呼欄位 ServerConfig.PublicKeyCallback) 可能容易發生授權繞過問題。ServerConfig.PublicKeyCallback 的說明文件指出,對此函式的呼叫並不保證所提供的金鑰確實用於驗證。具體而言,SSH 通訊協定允許用戶端在證明對應私密金鑰的控制權之前,查詢是否可接受公開金鑰。PublicKeyCallback 可使用多個金鑰呼叫且無法使用提供金鑰的順序來推斷用戶端使用哪個金鑰成功驗證 (若有)。某些應用程式若儲存了傳遞至 PublicKeyCallback (或衍生資訊) 的金鑰並在連線建立後根據該金鑰做出安全性相關判定則 可能會做出不正確的假設。例如攻擊者 可能傳送公開金鑰 A 和 B然後使用 A 進行驗證。PublicKeyCallback 只會被呼叫兩次第一次使用 A 然後使用 B。有弱點的應用程式接著會根據攻擊者所針對的金鑰 B 做出授權決策不會實際控制私密金鑰。由於此 API 遭到廣泛誤用,因此 golang.org/x/[email protected] 強制套用下列屬性作為局部緩解措施: 一旦透過公開金鑰成功驗證,則以最後一組傳遞給 ServerConfig.PublicKeyCallback 的公開金鑰為實際驗證連線的金鑰。現在會視需要以相同的金鑰多次呼叫 PublicKeyCallback。請注意如果之後使用其他方法 (例如 PasswordCallback、KeyboardInteractiveCallback 或 NoClientAuth) 驗證連線用戶端可能仍無法控制傳遞給 PublicKeyCallback 的最後一個金鑰。使用者應透過各種驗證回呼所傳回的「權限」值之「延伸模組」欄位,記錄與驗證嘗試相關的資料,而非參照外部狀態。建立連線後,即可透過 ServerConn.Permissions 欄位檢索與成功驗證嘗試相應的狀態資訊。請注意,某些第三方程式庫會在多次驗證嘗試中重複使用權限類型。有鑑於此類誤用,這些第三方程式庫的使用者應參閱相關專案以學習其正確用法。(CVE-2024-45337)

請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新受影響的套件。

另請參閱

https://nvd.nist.gov/vuln/detail/CVE-2024-45337

Plugin 詳細資訊

嚴重性: Critical

ID: 215502

檔案名稱: azure_linux_CVE-2024-45337.nasl

版本: 1.2

類型: local

已發布: 2025/2/10

已更新: 2025/3/13

支援的感應器: Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.0

CVSS v2

風險因素: High

基本分數: 9.4

時間性分數: 7.4

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:N

CVSS 評分資料來源: CVE-2024-45337

CVSS v3

風險因素: Critical

基本分數: 9.1

時間性分數: 8.2

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

時間媒介: CVSS:3.0/E:P/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:microsoft:azure_linux:cert-manager-cmctl, p-cpe:/a:microsoft:azure_linux:packer, p-cpe:/a:microsoft:azure_linux:cf-cli, p-cpe:/a:microsoft:azure_linux:moby-engine, p-cpe:/a:microsoft:azure_linux:docker-compose-debuginfo, p-cpe:/a:microsoft:azure_linux:cert-manager-controller, x-cpe:/o:microsoft:azure_linux, p-cpe:/a:microsoft:azure_linux:docker-compose, p-cpe:/a:microsoft:azure_linux:cert-manager-debuginfo, p-cpe:/a:microsoft:azure_linux:moby-compose, p-cpe:/a:microsoft:azure_linux:cert-manager-acmesolver, p-cpe:/a:microsoft:azure_linux:cert-manager-webhook, p-cpe:/a:microsoft:azure_linux:docker-buildx, p-cpe:/a:microsoft:azure_linux:cert-manager-cainjector, p-cpe:/a:microsoft:azure_linux:docker-buildx-debuginfo, p-cpe:/a:microsoft:azure_linux:cert-manager

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/AzureLinux/release, Host/AzureLinux/rpm-list

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2025/1/14

弱點發布日期: 2024/12/11

參考資訊

CVE: CVE-2024-45337