Rocky Linux 8Satellite 6.13 リリース重要度高RLSA-2023:2097
critical Nessus プラグイン ID 175139
Language:
概要
リモートの Rocky Linux ホストに、1 つ以上のセキュリティ更新がありません。説明
リモートのRocky Linux 8ホストには、RLSA-2023:2097アドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。- SnakeYaml の Constructor() クラスは、逆シリアル化中にインスタンス化できるタイプを制限しません。
攻撃者が提供した yaml コンテンツを逆シリアル化すると、リモートでコードが実行される可能性があります。信頼できないコンテンツを解析して逆シリアル化を制限するときは、SnakeYaml の SafeConsturctor を使用することをお勧めします。バージョン 2.0 以降にアップグレードすることをお勧めします。(CVE-2022-1471)
- Action Pack >= 5.2.0および < 5.2.0の XSS の脆弱性により、攻撃者は応答のような非 HTML の CSP をバイパスする可能性があります。(CVE-2022-22577)
- Loofah は、Nokogiri の上に構築された、HTML/XML ドキュメントおよびフラグメントを操作および変換するための汎用ライブラリです。Loofah < 2.19.1 に非効率的な正規表現が含まれているため、特定の SVG 属性をサニタイズしようとする際に過剰なバックトラックが発生しやすくなります。これにより、CPU リソースの消費によりサービス拒否が発生する可能性があります。この問題には、バージョン 2.19.1 でパッチが適用されています。(CVE-2022-23514)
- Loofah は、Nokogiri の上に構築された、HTML/XML ドキュメントおよびフラグメントを操作および変換するための汎用ライブラリです。Loofah >= 2.1.0、< 2.19.1 は、データ URI の image/svg+xml メディアタイプを介したクロスサイトスクリプティングに対して脆弱です。この問題には、バージョン 2.19.1 でパッチが適用されています。(CVE-2022-23515)
- Loofah は、Nokogiri の上に構築された、HTML/XML ドキュメントおよびフラグメントを操作および変換するための汎用ライブラリです。Loofah >= 2.2.0、< 2.19.1 は、CDATA セクションをサニタイズするために再帰を使用するため、スタック枯渇の影響を受けやすくなり、SystemStackError 例外が発生します。これにより、CPU リソースの消費によりサービス拒否が発生する可能性があります。この問題には、バージョン 2.19.1 でパッチが適用されています。アップグレードできないユーザーは、サニタイズされる文字列の長さを制限することで、この脆弱性を緩和できる可能性があります。(CVE-2022-23516)
- rails-html-sanitizer は、Rails アプリケーションの HTML フラグメントをサニタイズします。rails-html-sanitizer < 1.4.4 の特定の設定には非効率的な正規表現が使用されているため、特定の SVG 属性をサニタイズしようとする際に過剰なバックトラックが発生しやすくなります。これにより、CPU リソースの消費によりサービス拒否が発生する可能性があります。この問題には、バージョン 1.4.4でパッチが適用されています。(CVE-2022-23517)
- rails-html-sanitizer は、Rails アプリケーションの HTML フラグメントをサニタイズします。Versions >= 1.0.3、< 1.4.4 は、Loofah >= 2.1.0 と組み合わせて使用されたとき、データ URI を介したクロスサイトスクリプティングに対して脆弱です。この問題には、バージョン 1.4.4 でパッチが適用されています。(CVE-2022-23518)
- rails-html-sanitizer は、Rails アプリケーションの HTML フラグメントをサニタイズします。バージョン 1.4.4 より前では、Rails::Html::Sanitizer の特定の設定で発生する可能性のある XSS の脆弱性により、アプリケーション開発者がサニタイザーの許可されたタグを次のいずれかの方法でオーバーライドした場合、攻撃者はコンテンツを注入できることがあります。math 要素と style 要素の両方を許可するか、svg 要素と style 要素の両方を許可した場合。許可されたタグがオーバーライドされている場合のみ、コードが影響を受けます。この問題はバージョン 1.4.4 で修正されています。math または svg および style を含めるために許可されたタグをオーバーライドするすべてのユーザーは、アップグレードするか、次の回避策を直ちに使用する必要があります。オーバーライドされた許可されたタグからスタイルを削除するか、オーバーライドされた許可されたタグから数学と svg を削除する。(CVE-2022-23519)
- rails-html-sanitizer は、Rails アプリケーションの HTML フラグメントをサニタイズします。バージョン 1.4.4 より前では、CVE-2022-32209 の不完全な修正により、Rails::Html::Sanitizer の特定の構成で XSS の脆弱性が発生する可能性があります。Rails::Html::Sanitizer では、アプリケーション開発者がサニタイザーの許可されたタグをオーバーライドして select 要素と style 要素の両方を許可している場合、攻撃者がコンテンツを注入する可能性があります。許可されたタグがオーバーライドされている場合のみ、コードが影響を受けます。この問題には、バージョン 1.4.4 でパッチが適用されています。select および style の両方を含めるために許可されたタグをオーバーライドするすべてのユーザーは、アップグレードするか、この回避策を使用する必要があります。オーバーライドされた許可されたタグから select または style のいずれかを削除する。注: コードは
許可されたタグが Action View ヘルパーメソッドサニタイズに対する :tags オプションまたはインスタンスメソッド SafeListSanitizer#sanitize に対する :tags オプションのいずれかを使用してオーバーライドされても、影響を_受けません_。(CVE-2022-23520)
- 0 および 1.31 より前の パッケージ org.yaml:snakeyaml は、コレクションのネスト化された深さ制限がないために、サービス拒否DoSに対して脆弱です。CVE-2022-25857
- Action View タグヘルパー >= 5.2.0および < 5.2.0の XSS の脆弱性により、特定の属性への入力を制御できる場合、攻撃者コンテンツを注入することが可能です。(CVE-2022-27777)
- TZInfoは、タイムゾーンデータへのアクセスを提供し、タイムゾーンルールを使用して時刻を変換できる Ruby ライブラリです。0.36.1 より前のバージョンと 1.2.10 より前のバージョンを Ruby データソース tzinfo-data で使用した場合、相対パストラバーサルに脆弱です。Ruby データソースでは、タイムゾーンは Ruby ファイルで定義されます。タイムゾーンごとに 1 つのファイルがあります。タイムゾーンファイルは、オンデマンドで「require」でロードされます。影響を受けるバージョンでは、「TZInfo::Timezone.get」がタイムゾーン識別子を正しく検証できず、識別子内に改行文字が含まれる可能性があります。Ruby バージョン 1.9.3 以降では、「TZInfo::Timezone.get」に「require」が含まれる意図されないファイルをロードすることができ、Ruby プロセス内でそれらのファイルが実行される可能性があります。バージョン 0.3.61 および 1.2.10 には、タイムゾーン識別子を正しく検証するための修正が含まれています。バージョン 2.0.0 以降は脆弱ではありません。バージョン 0.3.61 は、名前が有効なタイムゾーン識別子のルールに従い、ファイルのロードパスのディレクトリ内に「tzinfo/definition」のプレフィックスがある場合、Ruby ロードパスから任意のファイルをロードできます。アプリケーションは、信頼できないファイルがロードパスのディレクトリに配置されないようにする必要があります。回避策として、正規表現 `\A[A-Za-z0-9+\-_]+(?:\ と確実に一致するようにすることで、タイムゾーン識別子を「TZInfo::Timezone.get」に渡す前に検証できます。 /[A-Za-z0-9+\-_]+)*\z`。CVE-2022-31163
- Active Record < 7.0.3.1、<6.1.6.1、<6.0.5.1、<5.2.8.1 で YAML シリアライズカラムを使用する場合、SQL インジェクションなどの方法でデータベースのデータを操作できる攻撃者が RCE にエスカレートする脆弱性が存在する可能性があります。(CVE-2022-32224)
- Apache Commons Configuration は変数補間を実行し、プロパティを動的に評価および拡張できます。補間の標準形式は ${prefix:name} で、プレフィックスは補間を実行する org.apache.commons.configuration2.interpol.Lookup のインスタンスを見つけるために使用されます。バージョン 2.4 から 2.7 までは、デフォルトの Lookup インスタンスのセットにインターポレーターが含まれ、任意のコードの実行またはリモートサーバーとの接続を引き起こす可能性があります。これらの検索は次のとおりです - スクリプト - JVM スクリプト実行エンジンを使用して式を実行しますjavax.script - dns
- dns レコードを解決します - url - リモートサーバーからも含めて、urls から値を読み込みます。影響を受けるバージョンで補間デフォルトを使用しているアプリケーションは、リモートコードの実行や、信頼できない構成値が使用された場合のリモートサーバーとの意図しない接続に対して脆弱な場合があります。ユーザーは、問題のあるインターポレーターをデフォルトで無効にする Apache Commons Configuration 2.8.0 にアップグレードすることが推奨されます。(CVE-2022-33980)
- snakeYAML を使用して信頼できない YAML ファイルを解析すると、サービス拒否攻撃 (DOS) に対して脆弱になる可能性があります。パーサーがユーザー指定の入力で実行している場合、攻撃者がコンテンツを提供し、スタックオーバーフローによりパーサーをクラッシュさせる可能性があります。(CVE-2022-38749、CVE-2022-38750、CVE-2022-38751)
- snakeYAML を使用して信頼できない YAML ファイルを解析すると、サービス拒否攻撃 (DOS) に対して脆弱になる可能性があります。パーサーがユーザー指定の入力で実行している場合、攻撃者がコンテンツを提供し、スタックオーバーフローによりパーサーをクラッシュさせる可能性があります。(CVE-2022-38752)
- Django では、3.2.16 より前の 3.2、4.0.8 より前の 4.0、および 4.1.2より前の 4.1で、国際化された URL が、正規表現として扱われるロケールパラメーターを介して、サービス拒否攻撃を受ける可能性があります。(CVE-2022-41323)
- pgjdbc は、オープンソースの PostgreSQL JDBC ドライバーです。影響を受けるバージョンでは、「PreparedStatement.setText(int, InputStream)」または「PreparedStatemet.setBytea(int, InputStream)」を使用するプリペアドステートメントにより、InputStream が 2k より大きい場合に一時ファイルが作成されます。こうして作成される一時ファイルは、Unix のようなシステムで他のユーザーが読み取ることができますが、MacOS ではできません。Unix のようなシステムでは、システムの一時ディレクトリはそのシステムの全ユーザーで共有されます。このため、ファイルとディレクトリがこのディレクトリに書き込まれると、デフォルトでは、同じシステム上の他のユーザーが読み取ることができます。この脆弱性では、他のユーザーがこれらのディレクトリまたはファイルのコンテンツを上書きすることはできません。これは純粋な情報漏洩の脆弱性です。特定の JDK ファイルシステム API が JDK 1.7 でのみ追加されていたため、この修正は使用している JDK のバージョンに依存しています。Java 1.7 およびそれ以降のユーザー: この脆弱性は 4.5.0 で修正されています。Java 1.6 以前のユーザー: 利用可能なパッチはありません。パッチを適用できない場合、または Java 1.6 で実行をスタックしている場合は、システムの環境変数 java.io.tmpdir を実行ユーザーのみが所有するディレクトリに指定すると、この脆弱性が緩和されます。
(CVE-2022-41946)
- 2.14.0-rc1 より前の FasterXML jackson-databind で、UNWRAP_SINGLE_VALUE_ARRAYS 機能が有効な場合に、ラッパー配列の深いネスト化を回避するためのプリミティブな値のデシリアライザーのチェックがないため、リソース枯渇が発生する可能性があります。2.13.4.1 および 2.12.17.1 の追加修正バージョン (CVE-2022-42003)
- 2.13.4 より前の FasterXML jackson-databind では、深くネスト化された配列の使用を防ぐ BeanDeserializer._deserializeFromArray のチェックがないため、リソース枯渇が発生する可能性があります。アプリケーションは、逆シリアル化のためにカスタマイズされた特定の選択肢がある場合にのみ脆弱です。(CVE-2022-42004)
- Apache Commons Text は変数補間を実行し、プロパティを動的に評価および拡張できます。補間の標準形式は ${prefix:name} です。ここで、prefix は、補間を実行する org.apache.commons.text.lookup.StringLookup のインスタンスを見つけるために使用されます。バージョン 1.5 から 1.9 までは、デフォルトの Lookup インスタンスのセットにインターポレーターが含まれ、任意のコードの実行またはリモートサーバーとの接続を引き起こす可能性があります。これらの検索は以下の通りです。- スクリプト - JVM スクリプト実行エンジン (javax.script) を使用して式を実行します - dns -- dns レコードを解決します - url - リモートサーバーからも含めて、urls から値を読み込みます。影響を受けるバージョンで補間デフォルトを使用しているアプリケーションは、リモートコードの実行や、信頼できない構成値が使用された場合のリモートサーバーとの意図しない接続に対して脆弱な場合があります。ユーザーは、問題のあるインターポレーターをデフォルトで無効にする Apache Commons Text 1.10.0 にアップグレードすることが推奨されます。(CVE-2022-42889)
- Django 3.2.17 より前の 3.2、4.0.9 より前の 4.0、4.1.6 より前の 4.1 では、繰り返し解析を回避するために、Accept-Language ヘッダーの解析された値がキャッシュされます。これにより、Accept-Language ヘッダーの raw 値が非常に大きい場合、過剰なメモリ使用によるサービス拒否を引き起こす可能性があります。
(CVE-2023-23969)
- Django 3.2.18より前の 3.2、4.0.10 より前の 4.0、4.1.7 より前の 4.1 の Multipart Request Parser に問題が発見されました。特定の入力 (過剰な数のパートなど) をマルチパートフォームに渡すと、開いているファイルが多すぎたり、メモリを使い果たしたりする可能性があり、サービス拒否攻撃を受ける可能性がありました。(CVE-2023-24580)
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受けるパッケージを更新してください。参考資料
https://errata.rockylinux.org/RLSA-2023:2097
https://bugzilla.redhat.com/show_bug.cgi?id=2107011
https://bugzilla.redhat.com/show_bug.cgi?id=2107758
https://bugzilla.redhat.com/show_bug.cgi?id=2108997
https://bugzilla.redhat.com/show_bug.cgi?id=2109634
https://bugzilla.redhat.com/show_bug.cgi?id=2110551
https://bugzilla.redhat.com/show_bug.cgi?id=2111159
https://bugzilla.redhat.com/show_bug.cgi?id=2115970
https://bugzilla.redhat.com/show_bug.cgi?id=2116375
https://bugzilla.redhat.com/show_bug.cgi?id=2118651
https://bugzilla.redhat.com/show_bug.cgi?id=2119053
https://bugzilla.redhat.com/show_bug.cgi?id=2119155
https://bugzilla.redhat.com/show_bug.cgi?id=2119911
https://bugzilla.redhat.com/show_bug.cgi?id=2120640
https://bugzilla.redhat.com/show_bug.cgi?id=2121210
https://bugzilla.redhat.com/show_bug.cgi?id=2121288
https://bugzilla.redhat.com/show_bug.cgi?id=2122617
https://bugzilla.redhat.com/show_bug.cgi?id=2123593
https://bugzilla.redhat.com/show_bug.cgi?id=2123696
https://bugzilla.redhat.com/show_bug.cgi?id=2123835
https://bugzilla.redhat.com/show_bug.cgi?id=2123932
https://bugzilla.redhat.com/show_bug.cgi?id=2124419
https://bugzilla.redhat.com/show_bug.cgi?id=2124520
https://bugzilla.redhat.com/show_bug.cgi?id=2125424
https://bugzilla.redhat.com/show_bug.cgi?id=2125444
https://bugzilla.redhat.com/show_bug.cgi?id=2126200
https://bugzilla.redhat.com/show_bug.cgi?id=2126349
https://bugzilla.redhat.com/show_bug.cgi?id=2126372
https://bugzilla.redhat.com/show_bug.cgi?id=2126695
https://bugzilla.redhat.com/show_bug.cgi?id=2126789
https://bugzilla.redhat.com/show_bug.cgi?id=2126905
https://bugzilla.redhat.com/show_bug.cgi?id=2127180
https://bugzilla.redhat.com/show_bug.cgi?id=2127470
https://bugzilla.redhat.com/show_bug.cgi?id=2127998
https://bugzilla.redhat.com/show_bug.cgi?id=2128038
https://bugzilla.redhat.com/show_bug.cgi?id=2128256
https://bugzilla.redhat.com/show_bug.cgi?id=2128864
https://bugzilla.redhat.com/show_bug.cgi?id=2128894
https://bugzilla.redhat.com/show_bug.cgi?id=2129706
https://bugzilla.redhat.com/show_bug.cgi?id=2129707
https://bugzilla.redhat.com/show_bug.cgi?id=2129709
https://bugzilla.redhat.com/show_bug.cgi?id=2129710
https://bugzilla.redhat.com/show_bug.cgi?id=2129950
https://bugzilla.redhat.com/show_bug.cgi?id=2130596
https://bugzilla.redhat.com/show_bug.cgi?id=2130698
https://bugzilla.redhat.com/show_bug.cgi?id=2131312
https://bugzilla.redhat.com/show_bug.cgi?id=2131369
https://bugzilla.redhat.com/show_bug.cgi?id=2131839
https://bugzilla.redhat.com/show_bug.cgi?id=2132452
https://bugzilla.redhat.com/show_bug.cgi?id=2133343
https://bugzilla.redhat.com/show_bug.cgi?id=2133615
https://bugzilla.redhat.com/show_bug.cgi?id=2134283
https://bugzilla.redhat.com/show_bug.cgi?id=2134682
https://bugzilla.redhat.com/show_bug.cgi?id=2135244
https://bugzilla.redhat.com/show_bug.cgi?id=2135247
https://bugzilla.redhat.com/show_bug.cgi?id=2135418
https://bugzilla.redhat.com/show_bug.cgi?id=2135435
https://bugzilla.redhat.com/show_bug.cgi?id=2136130
https://bugzilla.redhat.com/show_bug.cgi?id=2137318
https://bugzilla.redhat.com/show_bug.cgi?id=2137350
https://bugzilla.redhat.com/show_bug.cgi?id=2137539
https://bugzilla.redhat.com/show_bug.cgi?id=2138887
https://bugzilla.redhat.com/show_bug.cgi?id=2139209
https://bugzilla.redhat.com/show_bug.cgi?id=2139418
https://bugzilla.redhat.com/show_bug.cgi?id=2139441
https://bugzilla.redhat.com/show_bug.cgi?id=2139545
https://bugzilla.redhat.com/show_bug.cgi?id=2140628
https://bugzilla.redhat.com/show_bug.cgi?id=2140807
https://bugzilla.redhat.com/show_bug.cgi?id=2141136
https://bugzilla.redhat.com/show_bug.cgi?id=2141187
https://bugzilla.redhat.com/show_bug.cgi?id=2141455
https://bugzilla.redhat.com/show_bug.cgi?id=2141719
https://bugzilla.redhat.com/show_bug.cgi?id=2141810
https://bugzilla.redhat.com/show_bug.cgi?id=2142514
https://bugzilla.redhat.com/show_bug.cgi?id=2142555
https://bugzilla.redhat.com/show_bug.cgi?id=2143451
https://bugzilla.redhat.com/show_bug.cgi?id=2143497
https://bugzilla.redhat.com/show_bug.cgi?id=2143515
https://bugzilla.redhat.com/show_bug.cgi?id=2143695
https://bugzilla.redhat.com/show_bug.cgi?id=2144044
https://bugzilla.redhat.com/show_bug.cgi?id=2147579
https://bugzilla.redhat.com/show_bug.cgi?id=2148433
https://bugzilla.redhat.com/show_bug.cgi?id=2148813
https://bugzilla.redhat.com/show_bug.cgi?id=2149030
https://bugzilla.redhat.com/show_bug.cgi?id=2149543
https://bugzilla.redhat.com/show_bug.cgi?id=2149730
https://bugzilla.redhat.com/show_bug.cgi?id=2149893
https://bugzilla.redhat.com/show_bug.cgi?id=2149896
https://bugzilla.redhat.com/show_bug.cgi?id=2149990
https://bugzilla.redhat.com/show_bug.cgi?id=2150009
https://bugzilla.redhat.com/show_bug.cgi?id=2150261
https://bugzilla.redhat.com/show_bug.cgi?id=2150311
https://bugzilla.redhat.com/show_bug.cgi?id=2150380
https://bugzilla.redhat.com/show_bug.cgi?id=2151333
https://bugzilla.redhat.com/show_bug.cgi?id=2151487
https://bugzilla.redhat.com/show_bug.cgi?id=2151564
https://bugzilla.redhat.com/show_bug.cgi?id=2151827
https://bugzilla.redhat.com/show_bug.cgi?id=2151838
https://bugzilla.redhat.com/show_bug.cgi?id=2151856
https://bugzilla.redhat.com/show_bug.cgi?id=2151935
https://bugzilla.redhat.com/show_bug.cgi?id=2152609
https://bugzilla.redhat.com/show_bug.cgi?id=2153234
https://bugzilla.redhat.com/show_bug.cgi?id=2153241
https://bugzilla.redhat.com/show_bug.cgi?id=1225819
https://bugzilla.redhat.com/show_bug.cgi?id=1266407
https://bugzilla.redhat.com/show_bug.cgi?id=1630294
https://bugzilla.redhat.com/show_bug.cgi?id=1638226
https://bugzilla.redhat.com/show_bug.cgi?id=1650468
https://bugzilla.redhat.com/show_bug.cgi?id=1761012
https://bugzilla.redhat.com/show_bug.cgi?id=1786358
https://bugzilla.redhat.com/show_bug.cgi?id=1787456
https://bugzilla.redhat.com/show_bug.cgi?id=1813274
https://bugzilla.redhat.com/show_bug.cgi?id=1826648
https://bugzilla.redhat.com/show_bug.cgi?id=1837767
https://bugzilla.redhat.com/show_bug.cgi?id=1841534
https://bugzilla.redhat.com/show_bug.cgi?id=1845489
https://bugzilla.redhat.com/show_bug.cgi?id=1880947
https://bugzilla.redhat.com/show_bug.cgi?id=1888667
https://bugzilla.redhat.com/show_bug.cgi?id=1895976
https://bugzilla.redhat.com/show_bug.cgi?id=1920810
https://bugzilla.redhat.com/show_bug.cgi?id=1931027
https://bugzilla.redhat.com/show_bug.cgi?id=1931533
https://bugzilla.redhat.com/show_bug.cgi?id=1950468
https://bugzilla.redhat.com/show_bug.cgi?id=1952529
https://bugzilla.redhat.com/show_bug.cgi?id=1956210
https://bugzilla.redhat.com/show_bug.cgi?id=1956985
https://bugzilla.redhat.com/show_bug.cgi?id=1963266
https://bugzilla.redhat.com/show_bug.cgi?id=1964037
https://bugzilla.redhat.com/show_bug.cgi?id=1965871
https://bugzilla.redhat.com/show_bug.cgi?id=1978683
https://bugzilla.redhat.com/show_bug.cgi?id=1978995
https://bugzilla.redhat.com/show_bug.cgi?id=1990790
https://bugzilla.redhat.com/show_bug.cgi?id=1990875
https://bugzilla.redhat.com/show_bug.cgi?id=1995097
https://bugzilla.redhat.com/show_bug.cgi?id=1995470
https://bugzilla.redhat.com/show_bug.cgi?id=1997186
https://bugzilla.redhat.com/show_bug.cgi?id=1997199
https://bugzilla.redhat.com/show_bug.cgi?id=2026151
https://bugzilla.redhat.com/show_bug.cgi?id=2029402
https://bugzilla.redhat.com/show_bug.cgi?id=2032040
https://bugzilla.redhat.com/show_bug.cgi?id=2043600
https://bugzilla.redhat.com/show_bug.cgi?id=2050234
https://bugzilla.redhat.com/show_bug.cgi?id=2052904
https://bugzilla.redhat.com/show_bug.cgi?id=2056402
https://bugzilla.redhat.com/show_bug.cgi?id=2057314
https://bugzilla.redhat.com/show_bug.cgi?id=2060099
https://bugzilla.redhat.com/show_bug.cgi?id=2062526
https://bugzilla.redhat.com/show_bug.cgi?id=2063999
https://bugzilla.redhat.com/show_bug.cgi?id=2066323
https://bugzilla.redhat.com/show_bug.cgi?id=2069438
https://bugzilla.redhat.com/show_bug.cgi?id=2073847
https://bugzilla.redhat.com/show_bug.cgi?id=2077363
https://bugzilla.redhat.com/show_bug.cgi?id=2080296
https://bugzilla.redhat.com/show_bug.cgi?id=2080302
https://bugzilla.redhat.com/show_bug.cgi?id=2088156
https://bugzilla.redhat.com/show_bug.cgi?id=2088529
https://bugzilla.redhat.com/show_bug.cgi?id=2094912
https://bugzilla.redhat.com/show_bug.cgi?id=2098079
https://bugzilla.redhat.com/show_bug.cgi?id=2101708
https://bugzilla.redhat.com/show_bug.cgi?id=2102078
https://bugzilla.redhat.com/show_bug.cgi?id=2103936
https://bugzilla.redhat.com/show_bug.cgi?id=2104247
https://bugzilla.redhat.com/show_bug.cgi?id=2105067
https://bugzilla.redhat.com/show_bug.cgi?id=2105441
https://bugzilla.redhat.com/show_bug.cgi?id=2106475
https://bugzilla.redhat.com/show_bug.cgi?id=2106753
https://bugzilla.redhat.com/show_bug.cgi?id=2153262
https://bugzilla.redhat.com/show_bug.cgi?id=2153273
https://bugzilla.redhat.com/show_bug.cgi?id=2153399
https://bugzilla.redhat.com/show_bug.cgi?id=2153423
https://bugzilla.redhat.com/show_bug.cgi?id=2153701
https://bugzilla.redhat.com/show_bug.cgi?id=2153720
https://bugzilla.redhat.com/show_bug.cgi?id=2153744
https://bugzilla.redhat.com/show_bug.cgi?id=2153751
https://bugzilla.redhat.com/show_bug.cgi?id=2154184
https://bugzilla.redhat.com/show_bug.cgi?id=2154397
https://bugzilla.redhat.com/show_bug.cgi?id=2154512
https://bugzilla.redhat.com/show_bug.cgi?id=2154734
https://bugzilla.redhat.com/show_bug.cgi?id=2155221
https://bugzilla.redhat.com/show_bug.cgi?id=2155392
https://bugzilla.redhat.com/show_bug.cgi?id=2155527
https://bugzilla.redhat.com/show_bug.cgi?id=2155911
https://bugzilla.redhat.com/show_bug.cgi?id=2156294
https://bugzilla.redhat.com/show_bug.cgi?id=2156295
https://bugzilla.redhat.com/show_bug.cgi?id=2156941
https://bugzilla.redhat.com/show_bug.cgi?id=2157627
https://bugzilla.redhat.com/show_bug.cgi?id=2157869
https://bugzilla.redhat.com/show_bug.cgi?id=2158508
https://bugzilla.redhat.com/show_bug.cgi?id=2158519
https://bugzilla.redhat.com/show_bug.cgi?id=2158565
https://bugzilla.redhat.com/show_bug.cgi?id=2158614
https://bugzilla.redhat.com/show_bug.cgi?id=2158738
https://bugzilla.redhat.com/show_bug.cgi?id=2159776
https://bugzilla.redhat.com/show_bug.cgi?id=2159963
https://bugzilla.redhat.com/show_bug.cgi?id=2159967
https://bugzilla.redhat.com/show_bug.cgi?id=2159974
https://bugzilla.redhat.com/show_bug.cgi?id=2160008
https://bugzilla.redhat.com/show_bug.cgi?id=2160056
https://bugzilla.redhat.com/show_bug.cgi?id=2160112
https://bugzilla.redhat.com/show_bug.cgi?id=2160264
https://bugzilla.redhat.com/show_bug.cgi?id=2160297
https://bugzilla.redhat.com/show_bug.cgi?id=2160497
https://bugzilla.redhat.com/show_bug.cgi?id=2160508
https://bugzilla.redhat.com/show_bug.cgi?id=2160524
https://bugzilla.redhat.com/show_bug.cgi?id=2160528
https://bugzilla.redhat.com/show_bug.cgi?id=2160705
https://bugzilla.redhat.com/show_bug.cgi?id=2160752
https://bugzilla.redhat.com/show_bug.cgi?id=2161304
https://bugzilla.redhat.com/show_bug.cgi?id=2161776
https://bugzilla.redhat.com/show_bug.cgi?id=2162129
https://bugzilla.redhat.com/show_bug.cgi?id=2162130
https://bugzilla.redhat.com/show_bug.cgi?id=2162678
https://bugzilla.redhat.com/show_bug.cgi?id=2162736
https://bugzilla.redhat.com/show_bug.cgi?id=2163425
https://bugzilla.redhat.com/show_bug.cgi?id=2163456
https://bugzilla.redhat.com/show_bug.cgi?id=2163457
https://bugzilla.redhat.com/show_bug.cgi?id=2163577
https://bugzilla.redhat.com/show_bug.cgi?id=2163582
https://bugzilla.redhat.com/show_bug.cgi?id=2163788
https://bugzilla.redhat.com/show_bug.cgi?id=2164026
https://bugzilla.redhat.com/show_bug.cgi?id=2164080
https://bugzilla.redhat.com/show_bug.cgi?id=2164330
https://bugzilla.redhat.com/show_bug.cgi?id=2164413
https://bugzilla.redhat.com/show_bug.cgi?id=2164757
https://bugzilla.redhat.com/show_bug.cgi?id=2164989
https://bugzilla.redhat.com/show_bug.cgi?id=2165482
https://bugzilla.redhat.com/show_bug.cgi?id=2165848
https://bugzilla.redhat.com/show_bug.cgi?id=2165952
https://bugzilla.redhat.com/show_bug.cgi?id=2166244
https://bugzilla.redhat.com/show_bug.cgi?id=2166293
https://bugzilla.redhat.com/show_bug.cgi?id=2166303
https://bugzilla.redhat.com/show_bug.cgi?id=2166374
https://bugzilla.redhat.com/show_bug.cgi?id=2166424
https://bugzilla.redhat.com/show_bug.cgi?id=2166457
https://bugzilla.redhat.com/show_bug.cgi?id=2166964
https://bugzilla.redhat.com/show_bug.cgi?id=2166966
https://bugzilla.redhat.com/show_bug.cgi?id=2167685
https://bugzilla.redhat.com/show_bug.cgi?id=2168041
https://bugzilla.redhat.com/show_bug.cgi?id=2168096
https://bugzilla.redhat.com/show_bug.cgi?id=2168168
https://bugzilla.redhat.com/show_bug.cgi?id=2168254
https://bugzilla.redhat.com/show_bug.cgi?id=2168258
https://bugzilla.redhat.com/show_bug.cgi?id=2168330
https://bugzilla.redhat.com/show_bug.cgi?id=2168494
https://bugzilla.redhat.com/show_bug.cgi?id=2168679
https://bugzilla.redhat.com/show_bug.cgi?id=2168967
https://bugzilla.redhat.com/show_bug.cgi?id=2169299
https://bugzilla.redhat.com/show_bug.cgi?id=2169402
https://bugzilla.redhat.com/show_bug.cgi?id=2169633
https://bugzilla.redhat.com/show_bug.cgi?id=2169858
https://bugzilla.redhat.com/show_bug.cgi?id=2169866
https://bugzilla.redhat.com/show_bug.cgi?id=2170034
https://bugzilla.redhat.com/show_bug.cgi?id=2171399
https://bugzilla.redhat.com/show_bug.cgi?id=2172141
https://bugzilla.redhat.com/show_bug.cgi?id=2172540
https://bugzilla.redhat.com/show_bug.cgi?id=2172939
https://bugzilla.redhat.com/show_bug.cgi?id=2173570
https://bugzilla.redhat.com/show_bug.cgi?id=2173756
https://bugzilla.redhat.com/show_bug.cgi?id=2174734
https://bugzilla.redhat.com/show_bug.cgi?id=2174910
https://bugzilla.redhat.com/show_bug.cgi?id=2175226
プラグインの詳細
深刻度: Critical
ID: 175139
ファイル名: rocky_linux_RLSA-2023-2097.nasl
バージョン: 1.2
タイプ: local
公開日: 2023/5/5
更新日: 2024/1/22
サポートされているセンサー: Nessus Agent, Continuous Assessment, Nessus
リスク情報
VPR
リスクファクター: High
スコア: 8.4
CVSS v2
リスクファクター: High
基本値: 7.5
現状値: 6.2
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS スコアのソース: CVE-2022-33980
CVSS v3
リスクファクター: Critical
基本値: 9.8
現状値: 9.1
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:F/RL:O/RC:C
CVSS スコアのソース: CVE-2022-42889
脆弱性情報
CPE: p-cpe:/a:rocky:linux:libdb-sql-debuginfo, p-cpe:/a:rocky:linux:libdb-debugsource, p-cpe:/a:rocky:linux:libdb-cxx-debuginfo, p-cpe:/a:rocky:linux:libdb-debuginfo, p-cpe:/a:rocky:linux:libdb-cxx, p-cpe:/a:rocky:linux:libdb-utils-debuginfo, p-cpe:/a:rocky:linux:libdb-sql-devel-debuginfo, cpe:/o:rocky:linux:8
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/RockyLinux/release, Host/RockyLinux/rpm-list
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2023/5/5
脆弱性公開日: 2022/4/30
エクスプロイト可能
Metasploit (Apache Commons Text RCE)
参照情報
CVE: CVE-2022-1471, CVE-2022-22577, CVE-2022-23514, CVE-2022-23515, CVE-2022-23516, CVE-2022-23517, CVE-2022-23518, CVE-2022-23519, CVE-2022-23520, CVE-2022-25857, CVE-2022-27777, CVE-2022-31163, CVE-2022-32224, CVE-2022-33980, CVE-2022-38749, CVE-2022-38750, CVE-2022-38751, CVE-2022-38752, CVE-2022-41323, CVE-2022-41946, CVE-2022-42003, CVE-2022-42004, CVE-2022-42889, CVE-2023-23969, CVE-2023-24580