RHEL 8: Red Hat OpenShift Service Mesh 2.1.3(RHSA-2022: 5004)
critical Nessus プラグイン ID 164877
Language:
概要
リモートの Red Hat ホストに、1 つ以上のセキュリティ更新プログラムがありません。説明
リモート Redhat Enterprise Linux 8 ホストにインストールされているパッケージは、RHSA-2022: 5004 のアドバイザリに記載されている複数の脆弱性の影響を受けます。- golang: math / big:Rat.SetString を介した未処理のオーバーフローによる、メモリ消費が制御されていません (CVE-2022-23772)
- golang: cmd/go:ブランチ名を誤って解釈することによりアクセス制御が不適切になる可能性があります (CVE-2022-23773)
- golang: crypto/elliptic:IsOnCurve が無効なフィールド要素に対して true を返します (CVE-2022-23806)
- envoy: GrpcHealthCheckerImpl のセグメンテーション違反 (CVE-2022-29224)
- envoy: デコンプレッサーは zip 爆弾攻撃を受ける可能性があります (CVE-2022-29225)
- envoy: oauth フィルターにより、簡単なバイパスが可能 (CVE-2022-29226)
- envoy: oauth フィルターが decodeHeaders() 内で continueDecoding() を呼び出す (CVE-2022-29228)
- Istio: メタデータ交換の安全でないメモリアクセス (CVE-2022-31045)
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。
ソリューション
影響を受けるパッケージを更新してください。参考資料
http://www.nessus.org/u?70fe4b09
http://www.nessus.org/u?9e32e86e
https://access.redhat.com/security/updates/classification/#critical
https://access.redhat.com/errata/RHSA-2022:5004
https://bugzilla.redhat.com/show_bug.cgi?id=2053429
https://bugzilla.redhat.com/show_bug.cgi?id=2053532
https://bugzilla.redhat.com/show_bug.cgi?id=2053541
https://bugzilla.redhat.com/show_bug.cgi?id=2088737
https://bugzilla.redhat.com/show_bug.cgi?id=2088738
https://bugzilla.redhat.com/show_bug.cgi?id=2088739
https://bugzilla.redhat.com/show_bug.cgi?id=2088740
https://bugzilla.redhat.com/show_bug.cgi?id=2088819
プラグインの詳細
深刻度: Critical
ID: 164877
ファイル名: redhat-RHSA-2022-5004.nasl
バージョン: 1.7
タイプ: local
エージェント: unix
公開日: 2022/9/8
更新日: 2024/4/28
サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: High
基本値: 7.5
現状値: 5.9
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS スコアのソース: CVE-2022-31045
CVSS v3
リスクファクター: Critical
基本値: 9.8
現状値: 8.8
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
脆弱性情報
CPE: cpe:/o:redhat:enterprise_linux:8, p-cpe:/a:redhat:enterprise_linux:servicemesh, p-cpe:/a:redhat:enterprise_linux:servicemesh-cni, p-cpe:/a:redhat:enterprise_linux:servicemesh-operator, p-cpe:/a:redhat:enterprise_linux:servicemesh-pilot-agent, p-cpe:/a:redhat:enterprise_linux:servicemesh-pilot-discovery, p-cpe:/a:redhat:enterprise_linux:servicemesh-prometheus, p-cpe:/a:redhat:enterprise_linux:servicemesh-proxy, p-cpe:/a:redhat:enterprise_linux:servicemesh-proxy-wasm, p-cpe:/a:redhat:enterprise_linux:servicemesh-ratelimit
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2022/6/13
脆弱性公開日: 2022/2/11
参照情報
CVE: CVE-2022-23772, CVE-2022-23773, CVE-2022-23806, CVE-2022-29224, CVE-2022-29225, CVE-2022-29226, CVE-2022-29228, CVE-2022-31045