RHEL 7/8:Red Hat OpenShift Service Mesh(RHSA-2020: 3369)

high Nessus プラグイン ID 139385

概要

リモートの Red Hat ホストに 1 つ以上のセキュリティ更新プログラムがありません。

説明

リモートのRedhat Enterprise Linux 7 / 8ホストにインストールされているパッケージは、RHSA-2020: 3369のアドバイザリに記載されている複数の脆弱性の影響を受けます。

- jquery: DOM 操作メソッドへ渡される HTML の <option>タグを介した信頼されていないコード実行 (CVE-2020-11023)

- macaron: 静的ハンドラーのオープンリダイレクト(CVE-2020-12666)

- golang.org/x/text: 符号化における無限ループをトリガーする可能性/ユニコードがクラッシュにつながる可能性があります(CVE-2020-14040)

- nodejs-lodash: zipObjectDeep関数のプロトタイプ汚染(CVE-2020-8203)

- golang.org/x/crypto: 細工されたssh-ed25519公開鍵の処理により、パニックが発生する可能性があります(CVE-2020-9283)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://access.redhat.com/security/cve/CVE-2020-8203

https://access.redhat.com/security/cve/CVE-2020-9283

https://access.redhat.com/security/cve/CVE-2020-11023

https://access.redhat.com/security/cve/CVE-2020-12666

https://access.redhat.com/security/cve/CVE-2020-14040

https://access.redhat.com/errata/RHSA-2020:3369

https://bugzilla.redhat.com/1804533

https://bugzilla.redhat.com/1850004

https://bugzilla.redhat.com/1850034

https://bugzilla.redhat.com/1853652

https://bugzilla.redhat.com/1857412

プラグインの詳細

深刻度: High

ID: 139385

ファイル名: redhat-RHSA-2020-3369.nasl

バージョン: 1.11

タイプ: local

エージェント: unix

公開日: 2020/8/7

更新日: 2023/1/23

サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.0

CVSS v2

リスクファクター: Medium

Base Score: 5.8

Temporal Score: 4.5

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:P

CVSS スコアのソース: CVE-2020-8203

CVSS v3

リスクファクター: High

Base Score: 7.4

Temporal Score: 6.7

ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: cpe:/o:redhat:enterprise_linux:7, cpe:/o:redhat:enterprise_linux:8, p-cpe:/a:redhat:enterprise_linux:ior, p-cpe:/a:redhat:enterprise_linux:kiali, p-cpe:/a:redhat:enterprise_linux:servicemesh, p-cpe:/a:redhat:enterprise_linux:servicemesh-citadel, p-cpe:/a:redhat:enterprise_linux:servicemesh-cni, p-cpe:/a:redhat:enterprise_linux:servicemesh-galley, p-cpe:/a:redhat:enterprise_linux:servicemesh-grafana, p-cpe:/a:redhat:enterprise_linux:servicemesh-grafana-prometheus, p-cpe:/a:redhat:enterprise_linux:servicemesh-istioctl, p-cpe:/a:redhat:enterprise_linux:servicemesh-mixc, p-cpe:/a:redhat:enterprise_linux:servicemesh-mixs, p-cpe:/a:redhat:enterprise_linux:servicemesh-operator, p-cpe:/a:redhat:enterprise_linux:servicemesh-pilot-agent, p-cpe:/a:redhat:enterprise_linux:servicemesh-pilot-discovery, p-cpe:/a:redhat:enterprise_linux:servicemesh-prometheus, p-cpe:/a:redhat:enterprise_linux:servicemesh-sidecar-injector

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2020/8/6

脆弱性公開日: 2020/2/20

参照情報

CVE: CVE-2020-11023, CVE-2020-12666, CVE-2020-14040, CVE-2020-8203, CVE-2020-9283

CWE: 130, 20, 601, 79, 835

IAVA: 2021-A-0194-S, 2021-A-0347

IAVB: 2020-B-0030

RHSA: 2020:3369