偵測

FreeBSD:elasticsearch -- 網站外掛程式的目錄遊走攻擊 (a71e7440-1ba3-11e5-b43d-002590263bf5)

medium Nessus Plugin ID 84413

語系:

概要

遠端 FreeBSD 主機缺少一個或多個安全性相關更新。

說明

Elastic 報告:

弱點摘要:1.5.2 與 1.4.5 之前的所有 Elasticsearch 版本都容易受到目錄遊走攻擊,其可在安裝一或多個網站外掛程式,或當 Windows 是伺服器作業系統時,允許攻擊者從執行 Elasticsearch 的伺服器中擷取檔案。

修復摘要:使用者應升級至 1.4.5 或 1.5.2 版。不想升級的使用者可以透過停用網站外掛程式來解決這個弱點。如需其他選項,請參閱 CVE 描述。

解決方案

更新受影響的套件。

另請參閱

https://www.elastic.co/community/security

https://www.elastic.co/blog/elasticsearch-1-5-2-and-1-4-5-released

http://www.nessus.org/u?6b1f8241

https://www.securityfocus.com/archive/1/535385

http://www.nessus.org/u?1636fb0c

Plugin 詳細資訊

嚴重性: Medium

ID: 84413

檔案名稱: freebsd_pkg_a71e74401ba311e5b43d002590263bf5.nasl

版本: 2.6

類型: local

已發布: 2015/6/26

已更新: 2021/1/6

支援的感應器: Nessus

風險資訊

VPR

風險因素: Medium

分數: 4.4

CVSS v2

風險因素: Medium

基本分數: 4.3

時間分數: 3.4

媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:N

弱點資訊

CPE: p-cpe:/a:freebsd:freebsd:elasticsearch, cpe:/o:freebsd:freebsd

必要的 KB 項目: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2015/6/26

弱點發布日期: 2015/4/27

參考資訊

CVE: CVE-2015-3337

BID: 74353