Linux Distros 未修補的弱點:CVE-2025-53901
low Nessus Plugin ID 246230
語言:
概要
Linux/Unix 主機上安裝的一個或多個套件存有弱點,供應商表示將不會修補。說明
Linux/Unix 主機上安裝了一個或多個受到弱點影響的套件,且供應商未提供可用的修補程式。- wasmtime 是適用於 WebAssembly 的運行時間。在 24.0.4、 33.0.2和 34.0.2版之前Wasmtime 之 WASIp1 匯入函式集的實作中有一個錯誤可能會導致 WebAssembly 來賓在主機 (嵌入器) 中引發錯誤。在使用兩個相等的引數值或第二個引數與先前關閉的檔案描述符號數字值相同的情況下呼叫 `fd_renumber` 之後若呼叫 `path_open` 會觸發特定的錯誤。`fd_renumber` 中引入的損毀狀態將導致後續開啟檔案描述符號發生錯誤。不過此不穩定不會造成記憶體不安全或允許 WebAssembly 在其沙箱之外中斷。此錯誤不會造成任何可能的堆積損毀或記憶體不安全狀況。此錯誤存在於提供 WASIp1 實作的 wasmtime 之 `wasmtime-wasi` crate 之實作中。除了能夠開啟後續檔案描述符號之外此錯誤還需要對 `fd_renumber` 執行特製的呼叫。只有在將預先開啟的目錄提供給來賓時才能開啟第二個檔案描述符號這在嵌入中很常見。主機錯誤會被視為 WebAssembly 內嵌程式的拒絕服務向量因此是 wasmtime 的安全性問題。此錯誤不會影響 WASIp2 和使用元件的嵌入程式。根據 wasmtime 的發行程序現已提供 24.0.4、 33.0.2與 34.0.2版修補程式。建議其他 wasmtime 版本的使用者移轉至受支援的 wasmtime 版本。使用 元件或 未提供來賓存取權來建立更多檔案描述符號 (例如透過預先開啟的檔案系統目錄) 的嵌入程式不受此問題影響。
否則目前沒有因應措施建議受影響的嵌入更新至不會在主機中造成錯誤的修補版本。 (CVE-2025-53901)
請注意,Nessus 依賴供應商報告的套件存在。
解決方案
目前尚未有已知的解決方案。另請參閱
Plugin 詳細資訊
嚴重性: Low
ID: 246230
檔案名稱: unpatched_CVE_2025_53901.nasl
版本: 1.1
類型: local
代理程式: unix
系列: Misc.
已發布: 2025/8/8
已更新: 2025/8/8
支援的感應器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
風險資訊
VPR
風險因素: Low
分數: 2.2
CVSS v2
風險因素: Medium
基本分數: 4.7
時間性分數: 3.5
媒介: CVSS2#AV:L/AC:M/Au:N/C:N/I:N/A:C
CVSS 評分資料來源: CVE-2025-53901
CVSS v3
風險因素: Low
基本分數: 3.5
時間性分數: 3.1
媒介: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:N/A:L
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: cpe:/o:canonical:ubuntu_linux:25.04, cpe:/o:canonical:ubuntu_linux:24.04:-:lts, p-cpe:/a:debian:debian_linux:rust-wasmtime, p-cpe:/a:canonical:ubuntu_linux:rust-wasmtime, cpe:/o:debian:debian_linux:13.0
必要的 KB 項目: Host/cpu, Host/local_checks_enabled, global_settings/vendor_unpatched, Host/OS/identifier
可輕鬆利用: No known exploits are available
弱點發布日期: 2025/7/18
參考資訊
CVE: CVE-2025-53901