Linux Distros 未修補的弱點:CVE-2022-36083
medium Nessus Plugin ID 256885
語言:
概要
Linux/Unix 主機上安裝的一個或多個套件存有弱點,供應商表示將不會修補。說明
Linux/Unix 主機上安裝了一個或多個受到弱點影響的套件,且廠商未提供可用的修補程式。- JOSE 是 JSON Web Almost Everyone - JWA、JWS、JWE、JWT、JWK、JWKS 在 Node.js、Browser、Cloudflare Workers、Electron 和 Deno 中使用運行時間的原生 crypto。PBKDF2 型 JWE 金鑰管理演算法預期名稱為 `p2c` PBES2 計數的 JOSE 標頭參數決定了必須執行多少次 PBKDF2 反覆運算才能衍生 CEK 包裝金鑰。此參數的用途是刻意減慢金鑰衍生功能的速度,以使密碼暴力密碼破解和字典攻擊的代價更為昂貴。這會使 PBES2 演算法不適用於 JWE 來自未受信任來源的情況攻擊者可刻意挑選一個極高的 PBES2 Count 值這將啟動佔用大量 CPU 的計算並可能花不合理的時間完成。
在某些情況下使用者的環境可消耗不合理的 CPU 時間。影響只會影響利用 JWE 解密 API (含對稱密碼) 來解密來自未受信任之方的 JWE且不會限制使用「keyManagementAlgorithms」 (或在 v1 中為「algorithms」) 的 JWE 金鑰管理演算法 (「alg」標頭參數) 的使用者。 .x) 解密選項或透過其他方式。`v1.28.2`、`v2.0.6`、`v3.20.4` 和 `v4.9.2` 版本預設將最大 PBKDF2 反覆數計數限制為 `10000`。可以使用新引入的 `maxPBES2Count` 解密選項調整此限制。如果使用者無法升級其所需的程式庫版本取決於他們是否預期使用三種 PBKDF2 型 JWE 金鑰管理演算法中的任何一種來接收 JWE有兩個選擇。他們可以使用 `keyManagementAlgorithms` 解密選項來完全停用接受 PBKDF2或者他們可以在使用解密 API 之前檢查 JOSE 標頭並限制 PBKDF2 重複計數 (`p2c` 標頭參數)。 (CVE-2022-36083)
請注意,Nessus 的判定取決於廠商所報告的套件是否存在。
解決方案
目前尚未有已知的解決方案。另請參閱
Plugin 詳細資訊
嚴重性: Medium
ID: 256885
檔案名稱: unpatched_CVE_2022_36083.nasl
版本: 1.1
類型: local
代理程式: unix
系列: Misc.
已發布: 2025/8/27
已更新: 2025/8/27
支援的感應器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
風險資訊
VPR
風險因素: Low
分數: 2.2
CVSS v2
風險因素: Medium
基本分數: 5
時間性分數: 3.9
媒介: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P
CVSS 評分資料來源: CVE-2022-36083
CVSS v3
風險因素: Medium
基本分數: 5.3
時間性分數: 4.8
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
時間媒介: CVSS:3.0/E:P/RL:O/RC:C
弱點資訊
CPE: cpe:/o:canonical:ubuntu_linux:24.04:-:lts, cpe:/o:canonical:ubuntu_linux:22.04:-:lts, cpe:/o:canonical:ubuntu_linux:25.04, p-cpe:/a:canonical:ubuntu_linux:node-jose, p-cpe:/a:canonical:ubuntu_linux:jose
必要的 KB 項目: Host/cpu, Host/local_checks_enabled, global_settings/vendor_unpatched, Host/OS/identifier
可被惡意程式利用: true
可輕鬆利用: Exploits are available
弱點發布日期: 2022/9/7
參考資訊
CVE: CVE-2022-36083