Linux Distros 未修補的弱點:CVE-2024-56138
medium Nessus Plugin ID 247295
語言:
概要
Linux/Unix 主機上安裝的一個或多個套件存有弱點,供應商表示將不會修補。說明
Linux/Unix 主機上安裝了一個或多個受到弱點影響的套件,且供應商未提供可用的修補程式。- notion-go 是一個程式庫集合用於支援簽章和驗證 OCI 成品。以 Notary Project 規格為基礎。此問題是在 Quarkslab 稽核時間戳記功能時發現的。
在時間戳記簽章產生期間並未驗證用來產生時間戳記簽章的憑證撤銷狀態。在時間戳記簽章產生期間notation-go 並未檢查 TSA 所使用之憑證鏈結的撤銷狀態。此疏忽造成一個可透過攔截式攻擊惡意利用的弱點。攻擊者可能利用遭入侵的中繼憑證、中繼憑證或已撤銷的分葉憑證來產生惡意的會簽然後以「標記法」接受並儲存該副簽。這可導致拒絕服務狀況特別是在 CI/CD 環境中的簽名驗證處理程序期間因為時間戳記簽名會因為存在可能中斷作業的已撤銷憑證而失敗。此問題已在 1.3.0-rc.2 版本中解決且建議所有使用者皆升級。目前沒有任何因應措施可解決此弱點。(CVE-2024-56138)
請注意,Nessus 依賴供應商報告的套件存在。
解決方案
目前尚未有已知的解決方案。另請參閱
Plugin 詳細資訊
嚴重性: Medium
ID: 247295
檔案名稱: unpatched_CVE_2024_56138.nasl
版本: 1.1
類型: local
代理程式: unix
系列: Misc.
已發布: 2025/8/10
已更新: 2025/8/10
支援的感應器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
風險資訊
VPR
風險因素: Low
分數: 1.4
CVSS v2
風險因素: Medium
基本分數: 4.3
時間性分數: 3.2
媒介: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N
CVSS 評分資料來源: CVE-2024-56138
CVSS v3
風險因素: Medium
基本分數: 4
時間性分數: 3.5
媒介: CVSS:3.0/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: cpe:/o:canonical:ubuntu_linux:25.04, p-cpe:/a:canonical:ubuntu_linux:golang-github-notaryproject-notation, p-cpe:/a:canonical:ubuntu_linux:golang-github-notaryproject-notation-go
必要的 KB 項目: Host/cpu, Host/local_checks_enabled, global_settings/vendor_unpatched, Host/OS/identifier
可輕鬆利用: No known exploits are available
弱點發布日期: 2025/1/13
參考資訊
CVE: CVE-2024-56138