偵測

Linux Distros 未修補的弱點:CVE-2024-52046

critical Nessus Plugin ID 248097

語言:

概要

Linux/Unix 主機上安裝的一個或多個套件存有弱點,供應商表示將不會修補。

說明

Linux/Unix 主機上安裝了一個或多個受到弱點影響的套件,且供應商未提供可用的修補程式。

 - Apache MINA 中的 ObjectSerializationDecoder 使用 Java 的原生還原序列化通訊協定來處理傳入的序列化資料但缺少必要的安全性檢查和防護。此弱點允許攻擊者傳送特製的惡意序列化資料藉此惡意利用還原序列化處理程序可能導致遠端程式碼執行 (RCE) 攻擊。此問題會影響 MINA 核心版本 2.0.X、 2.1.X 和 2.2.X並將由 2.0.27、 2.1.10 和 2.2.4版本修正。另請務必注意使用 MINA 核心程式庫的應用程式只有在呼叫 IoBuffer#getObject() 方法時才會受到影響而在篩選鏈中新增使用 ObjectSerializationCodecFactory 類別的 ProtocolCodecFilter 執行個體時可能會呼叫此特定方法。如果您的應用程式專門使用這些類別您必須升級至最新版本的 MINA 核心程式庫。僅進行升級還不夠您還必須使用下列三個新方法之一在 ObjectSerializationDecoder 執行個體中明確允許解碼器將接受的類別 /** * 接受與所提供之 ClassNameMatcher 相符的類別名稱以進行還原序列化除非是否則會遭到拒絕。 * * @param classNameMatcher 要使用的比對器 */ public void accept(ClassNameMatcher classNameMatcher) /** * 除非遭到拒絕否則接受符合所提供之還原序列化模式的類別名稱。 * * @param 模式標準 Java regexp */ public void accept(Pattern Pattern) /** * 接受萬用字元指定的類別進行還原序列化* 除非這些類別遭到拒絕。 * * @param patches 由 * {@link org.apache.commons.io.FilenameUtils#wildcardMatch(String, String) FilenameUtils.wildcardMatch} */ public void accept(String...patterns) 定義的萬用字元檔案名稱模式。則解碼器將拒絕傳入資料中出現的 *所有* 類別。注意FtpServer、SSHd 和 Vysper 子專案不受此問題影響。
 (CVE-2024-52046)

請注意,Nessus 依賴供應商報告的套件存在。

解決方案

目前尚未有已知的解決方案。

另請參閱

https://security-tracker.debian.org/tracker/CVE-2024-52046

https://ubuntu.com/security/CVE-2024-52046

Plugin 詳細資訊

嚴重性: Critical

ID: 248097

檔案名稱: unpatched_CVE_2024_52046.nasl

版本: 1.1

類型: local

代理程式: unix

系列: Misc.

已發布: 2025/8/11

已更新: 2025/8/11

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

風險資訊

VPR

風險因素: High

分數: 7.4

CVSS v2

風險因素: High

基本分數: 7.5

時間性分數: 5.5

媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 評分資料來源: CVE-2024-52046

CVSS v3

風險因素: Critical

基本分數: 9.8

時間性分數: 8.5

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:debian:debian_linux:mina, cpe:/o:debian:debian_linux:11.0, cpe:/o:canonical:ubuntu_linux:16.04:-:lts, cpe:/o:canonical:ubuntu_linux:22.04:-:lts, cpe:/o:canonical:ubuntu_linux:24.04:-:lts, p-cpe:/a:canonical:ubuntu_linux:mina, cpe:/o:canonical:ubuntu_linux:25.04, cpe:/o:canonical:ubuntu_linux:18.04:-:lts, p-cpe:/a:debian:debian_linux:mina2, p-cpe:/a:canonical:ubuntu_linux:mina2, cpe:/o:canonical:ubuntu_linux:20.04:-:lts, cpe:/o:debian:debian_linux:12.0

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, global_settings/vendor_unpatched, Host/OS/identifier

可輕鬆利用: No known exploits are available

弱點發布日期: 2024/12/25

參考資訊

CVE: CVE-2024-52046