検出

Amazon Linux 2: protobuf (ALAS-2023-1973)

high Nessus プラグイン ID 172166

Language:

概要

リモートの Amazon Linux 2 ホストにセキュリティ更新プログラムがありません。

説明

リモートホストにインストールされている protobuf のバージョンは、2.5.0-8 より前です。したがって、ALAS2-2023-1973 のアドバイザリに記載されている脆弱性の影響を受けます。

 - protobuf-cpp の 3.16.1、3.17.3、3.18.2、3.19.4、3.20.1、3.21.5 以前の ProtocolBuffers バージョンの MessageSet タイプの解析の脆弱性、および protobuf-python の 3.16.1、3.17.3、3.18.2、3.19.4、3.20.1、4.21.5 以前のバージョンにより、メモリ不足の障害が発生する可能性があります。
 要素ごとに複数の key-value がある特別に細工されたメッセージは、解析の問題を引き起こし、サニタイズされていない入力を受信するサービスに対するサービス拒否につながる可能性があります。protobuf-cpp の場合はバージョン 3.18.3、3.19.5、3.20.2、3.21.6 に、protobuf-python の場合は 3.18.3、3.19.5、3.20.2、4.21.6 にアップグレードすることをお勧めします。3.16 および 3.17 のバージョンは更新されなくなりました。(CVE-2022-1941)

Nessus はこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

「yum update protobuf」を実行してシステムを更新してください。

参考資料

https://alas.aws.amazon.com/AL2/ALAS-2023-1973.html

https://alas.aws.amazon.com/../../faqs.html

https://alas.aws.amazon.com/cve/html/CVE-2022-1941.html

プラグインの詳細

深刻度: High

ID: 172166

ファイル名: al2_ALAS-2023-1973.nasl

バージョン: 1.0

タイプ: local

エージェント: unix

公開日: 2023/3/7

更新日: 2023/3/7

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.4

CVSS v2

リスクファクター: High

基本値: 7.8

現状値: 5.8

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C

CVSS スコアのソース: CVE-2022-1941

CVSS v3

リスクファクター: High

基本値: 7.5

現状値: 6.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:amazon:linux:protobuf, p-cpe:/a:amazon:linux:protobuf-compiler, p-cpe:/a:amazon:linux:protobuf-debuginfo, p-cpe:/a:amazon:linux:protobuf-devel, p-cpe:/a:amazon:linux:protobuf-emacs, p-cpe:/a:amazon:linux:protobuf-emacs-el, p-cpe:/a:amazon:linux:protobuf-java, p-cpe:/a:amazon:linux:protobuf-javadoc, p-cpe:/a:amazon:linux:protobuf-lite, p-cpe:/a:amazon:linux:protobuf-lite-devel, p-cpe:/a:amazon:linux:protobuf-lite-static, p-cpe:/a:amazon:linux:protobuf-python, p-cpe:/a:amazon:linux:protobuf-static, p-cpe:/a:amazon:linux:protobuf-vim, cpe:/o:amazon:linux:2

必要な KB アイテム: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2023/3/2

脆弱性公開日: 2022/9/22

参照情報

CVE: CVE-2022-1941