Linux Distros 未修補的弱點:CVE-2024-31144
low Nessus Plugin ID 262026
語言:
概要
Linux/Unix 主機上安裝的一個或多個套件存有弱點,供應商表示將不會修補。說明
Linux/Unix 主機上安裝了一個或多個受到弱點影響的套件,且廠商未提供可用的修補程式。- 如需 Xapi 術語的簡短摘要請參閱 https://xapi-project.github.io/xen-api/overview.html#object-model-overview Xapi 包含備份和還原有關虛擬機器和儲存存放庫 (SR) 的詮釋資料的功能。詮釋資料本身儲存在 SR 內的虛擬磁碟映像 (VDI) 中。這有兩個用途詮釋資料的一般備份 (例如如果 filer 仍然正常則從主機失敗中復原)以及 可攜式 SR (例如使用外部硬碟將 VM 移至另一個主機)。詮釋資料只會作為系統管理員的明確動作還原但會在主機沒有 SR 相關資訊的情況下發生而且必須找到詮釋資料 VDI 才能擷取詮釋資料。透過搜尋 (以 UUID 英數字元順序)、掛載每個 VDI 並查看是否有適合的詮釋資料檔案來定位詮釋資料 VDI。第一個符合的 VDI 會被視為詮釋資料 VDI並從 還原。一般情況下VDI 的內容是由 VM 擁有者控制且不應受到主機系統管理員信任。惡意來賓可操控其磁碟使其看似中繼資料備份。來賓無法選擇其 VDI 的 UUID但只有一個磁碟的來賓有 50% 的機會在合法詮釋資料備份之前進行排序。具有兩個磁碟的來賓有 75% 的機會依此類推 (CVE-2024-31144)
請注意,Nessus 的判定取決於廠商所報告的套件是否存在。
解決方案
目前尚未有已知的解決方案。另請參閱
Plugin 詳細資訊
嚴重性: Low
ID: 262026
檔案名稱: unpatched_CVE_2024_31144.nasl
版本: 1.1
類型: local
代理程式: unix
系列: Misc.
已發布: 2025/9/10
已更新: 2025/9/10
支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
風險資訊
VPR
風險因素: Low
分數: 1.6
CVSS v2
風險因素: Low
基本分數: 1.5
時間性分數: 1.1
媒介: CVSS2#AV:L/AC:M/Au:S/C:P/I:N/A:N
CVSS 評分資料來源: CVE-2024-31144
CVSS v3
風險因素: Low
基本分數: 3.8
時間性分數: 3.3
媒介: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:L/I:N/A:N
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: cpe:/o:canonical:ubuntu_linux:24.04:-:lts, cpe:/o:canonical:ubuntu_linux:16.04:-:lts, cpe:/o:canonical:ubuntu_linux:22.04:-:lts, cpe:/o:canonical:ubuntu_linux:25.04, cpe:/o:canonical:ubuntu_linux:18.04:-:lts, p-cpe:/a:canonical:ubuntu_linux:xen, cpe:/o:canonical:ubuntu_linux:20.04:-:lts
必要的 KB 項目: Host/local_checks_enabled, Host/cpu, global_settings/vendor_unpatched, Host/OS/identifier
可輕鬆利用: No known exploits are available
弱點發布日期: 2024/7/18
參考資訊
CVE: CVE-2024-31144