Oracle Linux 7 / 8 : olcne / istio / istio (ELSA-2022-9362)

high Nessus プラグイン ID 160858

概要

リモートのOracle Linuxホストに、1つ以上のセキュリティ更新プログラムがありません。

説明

リモートの Oracle Linux 7/8 ホストに、ELSA-2022-9362アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

- Istio は、マイクロサービスを接続、管理、保護するためのオープンプラットフォームです。影響を受けるバージョンでは、Istio コントロールプレーンである istiod にリクエスト処理エラーの脆弱性があるため、悪意のある攻撃者が特別に細工されたメッセージを送信し、クラスターの検証用 Webhook が公開されたときにコントロールプレーンがクラッシュする可能性があります。このエンドポイントは TLS ポート 15017 で提供されますが、攻撃者からの認証は必要ありません。単純なインストールの場合、Istiod は通常、クラスター内からのみ到達可能であり、漏洩範囲は制限されます。ただし、一部の導入、特に [external istiod](https://istio.io/latest/docs/setup/install/external-controlplane/) トポロジでは、このポートはパブリックインターネットで公開されます。この問題には、バージョン1.13.2、1.12.5 および 1.11.8 でパッチが適用されています。ユーザーにアップグレードすることを推奨します。アップグレードできないユーザーは、パブリックインターネットに公開されている検証用 Webhook へのアクセスを無効にするか、既知の信頼できるエンティティセットにクエリできる IP アドレスのセットを制限する必要があります。(CVE-2022-24726)

- Go 1.16.15より前および 1.17.8より前の 1.17.xの前の regexp.Compile により、深くネスト化された式を介して、スタックの枯渇が可能となっています。 (CVE-2022-24921)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://linux.oracle.com/errata/ELSA-2022-9362.html

プラグインの詳細

深刻度: High

ID: 160858

ファイル名: oraclelinux_ELSA-2022-9362.nasl

バージョン: 1.3

タイプ: local

エージェント: unix

公開日: 2022/5/10

更新日: 2022/8/9

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.6

CVSS v2

リスクファクター: Medium

Base Score: 5

Temporal Score: 3.7

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P

CVSS スコアのソース: CVE-2022-24921

CVSS v3

リスクファクター: High

Base Score: 7.5

Temporal Score: 6.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/o:oracle:linux:7, cpe:/o:oracle:linux:8, p-cpe:/a:oracle:linux:istio, p-cpe:/a:oracle:linux:istio-istioctl, p-cpe:/a:oracle:linux:olcne-agent, p-cpe:/a:oracle:linux:olcne-api-server, p-cpe:/a:oracle:linux:olcne-gluster-chart, p-cpe:/a:oracle:linux:olcne-grafana-chart, p-cpe:/a:oracle:linux:olcne-istio-chart, p-cpe:/a:oracle:linux:olcne-nginx, p-cpe:/a:oracle:linux:olcne-oci-csi-chart, p-cpe:/a:oracle:linux:olcne-olm-chart, p-cpe:/a:oracle:linux:olcne-prometheus-chart, p-cpe:/a:oracle:linux:olcne-utils, p-cpe:/a:oracle:linux:olcnectl

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/OracleLinux

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2022/5/9

脆弱性公開日: 2022/3/5

参照情報

CVE: CVE-2022-24726, CVE-2022-24921

IAVB: 2022-B-0011-S