Linux Distros 未修補的弱點:CVE-2021-21303
medium Nessus Plugin ID 261355
語言:
概要
Linux/Unix 主機上安裝的一個或多個套件存有弱點,供應商表示將不會修補。說明
Linux/Unix 主機上安裝了一個或多個受到弱點影響的套件,且廠商未提供可用的修補程式。- Helm 是一種開放原始碼軟體本質上是 Kubernetes 套件管理員。Helm 是一種用於管理圖表的工具。圖表是預先設定的 Kubernetes 資源套件。在 3.0 版和 3.5.2版之前的 Helm 中存在一些未正確清理從可能不受信任的來源載入的資料。當圖表「版本」欄位中的 SemVer 無效時在某些情況下Helm 會允許在不清理的情況下照原樣使用字串。Helm 無法正確清理 Helm 存放庫 `index.yaml` 檔案中存在的某些欄位。Helm 未正確清理外掛程式的「plugin.yaml」檔案中的某些欄位。在某些情況下Helm 未正確清理「Chart.yaml」檔案中的欄位。核心維護者可惡意利用這些攻擊向量將欺騙性資訊傳送至執行 `helm` 命令的終端畫面並模糊化或更改畫面上的資訊。在某些情況下我們可以傳送終端機用來執行高階邏輯的程式碼例如清除終端機畫面。
此外在評估期間Helm 維護人員發現在讀取存放庫索引檔案時未正確清理其他一些欄位。此修正可修正所有此類情況並再次對版本欄位強制執行 SemVer2 原則。所有 Helm 3 使用者皆應升級至修正版本 3.5.2 或更新版本。使用 Helm 作為程式庫的使用者應確認其是自行清理此資料還是使用適當的 Helm API 呼叫來清理資料。 (CVE-2021-21303)
請注意,Nessus 的判定取決於廠商所報告的套件是否存在。
解決方案
目前尚未有已知的解決方案。另請參閱
Plugin 詳細資訊
嚴重性: Medium
ID: 261355
檔案名稱: unpatched_CVE_2021_21303.nasl
版本: 1.1
類型: local
代理程式: unix
系列: Misc.
已發布: 2025/9/4
已更新: 2025/9/4
支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
風險資訊
VPR
風險因素: Medium
分數: 4.4
CVSS v2
風險因素: Low
基本分數: 3.5
時間性分數: 2.6
媒介: CVSS2#AV:N/AC:M/Au:S/C:N/I:P/A:N
CVSS 評分資料來源: CVE-2021-21303
CVSS v3
風險因素: Medium
基本分數: 6.8
時間性分數: 5.9
媒介: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:N/I:H/A:N
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: cpe:/o:canonical:ubuntu_linux:16.04:-:lts, cpe:/o:canonical:ubuntu_linux:22.04:-:lts, cpe:/o:canonical:ubuntu_linux:24.04:-:lts, p-cpe:/a:canonical:ubuntu_linux:helm, cpe:/o:canonical:ubuntu_linux:25.04, cpe:/o:canonical:ubuntu_linux:18.04:-:lts, cpe:/o:canonical:ubuntu_linux:20.04:-:lts
必要的 KB 項目: Host/local_checks_enabled, Host/cpu, global_settings/vendor_unpatched, Host/OS/identifier
可輕鬆利用: No known exploits are available
弱點發布日期: 2021/2/5
參考資訊
CVE: CVE-2021-21303