RHEL 9: Red Hat Ceph Storage 6.1 (RHSA-2023: 3623)
medium Nessus プラグイン ID 177348
Language:
概要
リモートの Red Hat ホストに 1 つ以上のセキュリティ更新プログラムがありません。説明
リモートの Redhat Enterprise Linux 9 ホストにインストールされているパッケージは、RHSA-2023: 3623 アドバイザリに記載されている複数の脆弱性の影響を受けます。- 11.0.4/11.1.0-next.2 までの Angular に脆弱性が見つかりました。そして問題として分類されました。
影響を受けるのはコメントの処理です。操作により、クロスサイトスクリプティングが発生します。攻撃をリモートで起動することは可能ですが、最初に認証が必要になる場合があります。バージョン 11.0.5 および 11.1.0-next.3 にアップグレードすると、この問題に対処できます。パッチ名は ba8da742e3b243e8f43d4c63aa842b44e14f2b09 です。影響を受けるコンポーネントをアップグレードすることが推奨されます。
(CVE-2021-4231)
- moment は日付を解析、検証、操作、およびフォーマットするための JavaScript 日付ライブラリです。影響を受けるバージョンのモーメントが、非効率的な解析アルゴリズムを使用していることが判明しました。具体的には、moment で string-to-date 解析 (より具体的には、デフォルトで試行される rfc2822 解析) を使用すると、特定の入力が二次 (N^2) の複雑さになります。ユーザーは、10000 文字を超える入力で顕著な減速が見られることに気付く場合があります。ユーザー提供の文字列をサニティ長さをチェックせずにモーメントコンストラクターに渡すユーザーは、(Re) DoS 攻撃に脆弱です。この問題は 2.29.4でパッチされており、このパッチは影響を受けるすべてのバージョンに最小限の調整で適用できます。ユーザーにアップグレードすることを推奨します。アップグレードできないユーザーは、ユーザー入力から受け入れられる日付の長さを制限することを検討する必要があります。(CVE-2022-31129)
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受けるパッケージを更新してください。参考資料
https://bugzilla.redhat.com/show_bug.cgi?id=2210698
https://access.redhat.com/errata/RHSA-2023:3623
http://www.nessus.org/u?13cc8e7f
http://www.nessus.org/u?15054117
https://access.redhat.com/security/updates/classification/#moderate
https://bugzilla.redhat.com/show_bug.cgi?id=1467648
https://bugzilla.redhat.com/show_bug.cgi?id=1600995
https://bugzilla.redhat.com/show_bug.cgi?id=1783271
https://bugzilla.redhat.com/show_bug.cgi?id=1794550
https://bugzilla.redhat.com/show_bug.cgi?id=1929760
https://bugzilla.redhat.com/show_bug.cgi?id=1932764
https://bugzilla.redhat.com/show_bug.cgi?id=1937618
https://bugzilla.redhat.com/show_bug.cgi?id=1975689
https://bugzilla.redhat.com/show_bug.cgi?id=1991808
https://bugzilla.redhat.com/show_bug.cgi?id=2004175
https://bugzilla.redhat.com/show_bug.cgi?id=2016288
https://bugzilla.redhat.com/show_bug.cgi?id=2016949
https://bugzilla.redhat.com/show_bug.cgi?id=2024444
https://bugzilla.redhat.com/show_bug.cgi?id=2025815
https://bugzilla.redhat.com/show_bug.cgi?id=2028058
https://bugzilla.redhat.com/show_bug.cgi?id=2029714
https://bugzilla.redhat.com/show_bug.cgi?id=2036063
https://bugzilla.redhat.com/show_bug.cgi?id=2053347
https://bugzilla.redhat.com/show_bug.cgi?id=2053471
https://bugzilla.redhat.com/show_bug.cgi?id=2064260
https://bugzilla.redhat.com/show_bug.cgi?id=2064265
https://bugzilla.redhat.com/show_bug.cgi?id=2067709
https://bugzilla.redhat.com/show_bug.cgi?id=2076709
https://bugzilla.redhat.com/show_bug.cgi?id=2080926
https://bugzilla.redhat.com/show_bug.cgi?id=2082666
https://bugzilla.redhat.com/show_bug.cgi?id=2092506
https://bugzilla.redhat.com/show_bug.cgi?id=2094052
https://bugzilla.redhat.com/show_bug.cgi?id=2097027
https://bugzilla.redhat.com/show_bug.cgi?id=2097187
https://bugzilla.redhat.com/show_bug.cgi?id=2105075
https://bugzilla.redhat.com/show_bug.cgi?id=2105950
https://bugzilla.redhat.com/show_bug.cgi?id=2106421
https://bugzilla.redhat.com/show_bug.cgi?id=2108228
https://bugzilla.redhat.com/show_bug.cgi?id=2108489
https://bugzilla.redhat.com/show_bug.cgi?id=2109224
https://bugzilla.redhat.com/show_bug.cgi?id=2110290
https://bugzilla.redhat.com/show_bug.cgi?id=2111282
https://bugzilla.redhat.com/show_bug.cgi?id=2111364
https://bugzilla.redhat.com/show_bug.cgi?id=2111680
https://bugzilla.redhat.com/show_bug.cgi?id=2111751
https://bugzilla.redhat.com/show_bug.cgi?id=2112309
https://bugzilla.redhat.com/show_bug.cgi?id=2114835
https://bugzilla.redhat.com/show_bug.cgi?id=2120624
https://bugzilla.redhat.com/show_bug.cgi?id=2124441
https://bugzilla.redhat.com/show_bug.cgi?id=2127345
https://bugzilla.redhat.com/show_bug.cgi?id=2127926
https://bugzilla.redhat.com/show_bug.cgi?id=2129861
https://bugzilla.redhat.com/show_bug.cgi?id=2132554
https://bugzilla.redhat.com/show_bug.cgi?id=2133341
https://bugzilla.redhat.com/show_bug.cgi?id=2133549
https://bugzilla.redhat.com/show_bug.cgi?id=2133802
https://bugzilla.redhat.com/show_bug.cgi?id=2136031
https://bugzilla.redhat.com/show_bug.cgi?id=2136304
https://bugzilla.redhat.com/show_bug.cgi?id=2136336
https://bugzilla.redhat.com/show_bug.cgi?id=2137596
https://bugzilla.redhat.com/show_bug.cgi?id=2138793
https://bugzilla.redhat.com/show_bug.cgi?id=2138794
https://bugzilla.redhat.com/show_bug.cgi?id=2138933
https://bugzilla.redhat.com/show_bug.cgi?id=2139694
https://bugzilla.redhat.com/show_bug.cgi?id=2139769
https://bugzilla.redhat.com/show_bug.cgi?id=2140074
https://bugzilla.redhat.com/show_bug.cgi?id=2140784
https://bugzilla.redhat.com/show_bug.cgi?id=2141110
https://bugzilla.redhat.com/show_bug.cgi?id=2142167
https://bugzilla.redhat.com/show_bug.cgi?id=2142431
https://bugzilla.redhat.com/show_bug.cgi?id=2143285
https://bugzilla.redhat.com/show_bug.cgi?id=2145104
https://bugzilla.redhat.com/show_bug.cgi?id=2146544
https://bugzilla.redhat.com/show_bug.cgi?id=2146546
https://bugzilla.redhat.com/show_bug.cgi?id=2147346
https://bugzilla.redhat.com/show_bug.cgi?id=2147348
https://bugzilla.redhat.com/show_bug.cgi?id=2149259
https://bugzilla.redhat.com/show_bug.cgi?id=2149415
https://bugzilla.redhat.com/show_bug.cgi?id=2149533
https://bugzilla.redhat.com/show_bug.cgi?id=2151189
https://bugzilla.redhat.com/show_bug.cgi?id=2152963
https://bugzilla.redhat.com/show_bug.cgi?id=2153196
https://bugzilla.redhat.com/show_bug.cgi?id=2153452
https://bugzilla.redhat.com/show_bug.cgi?id=2153533
https://bugzilla.redhat.com/show_bug.cgi?id=2153673
https://bugzilla.redhat.com/show_bug.cgi?id=2153726
https://bugzilla.redhat.com/show_bug.cgi?id=2158689
https://bugzilla.redhat.com/show_bug.cgi?id=2159294
https://bugzilla.redhat.com/show_bug.cgi?id=2159307
https://bugzilla.redhat.com/show_bug.cgi?id=2160598
https://bugzilla.redhat.com/show_bug.cgi?id=2161479
https://bugzilla.redhat.com/show_bug.cgi?id=2161483
https://bugzilla.redhat.com/show_bug.cgi?id=2163473
https://bugzilla.redhat.com/show_bug.cgi?id=2164327
https://bugzilla.redhat.com/show_bug.cgi?id=2168541
https://bugzilla.redhat.com/show_bug.cgi?id=2172791
https://bugzilla.redhat.com/show_bug.cgi?id=2175307
https://bugzilla.redhat.com/show_bug.cgi?id=2180110
https://bugzilla.redhat.com/show_bug.cgi?id=2180567
https://bugzilla.redhat.com/show_bug.cgi?id=2181055
https://bugzilla.redhat.com/show_bug.cgi?id=2182022
https://bugzilla.redhat.com/show_bug.cgi?id=2182035
https://bugzilla.redhat.com/show_bug.cgi?id=2182564
https://bugzilla.redhat.com/show_bug.cgi?id=2182613
https://bugzilla.redhat.com/show_bug.cgi?id=2184268
https://bugzilla.redhat.com/show_bug.cgi?id=2185588
https://bugzilla.redhat.com/show_bug.cgi?id=2185772
https://bugzilla.redhat.com/show_bug.cgi?id=2186095
https://bugzilla.redhat.com/show_bug.cgi?id=2186126
https://bugzilla.redhat.com/show_bug.cgi?id=2186472
https://bugzilla.redhat.com/show_bug.cgi?id=2186557
https://bugzilla.redhat.com/show_bug.cgi?id=2186738
https://bugzilla.redhat.com/show_bug.cgi?id=2186760
https://bugzilla.redhat.com/show_bug.cgi?id=2186774
https://bugzilla.redhat.com/show_bug.cgi?id=2187265
https://bugzilla.redhat.com/show_bug.cgi?id=2187394
https://bugzilla.redhat.com/show_bug.cgi?id=2187617
https://bugzilla.redhat.com/show_bug.cgi?id=2187659
https://bugzilla.redhat.com/show_bug.cgi?id=2188266
https://bugzilla.redhat.com/show_bug.cgi?id=2188460
https://bugzilla.redhat.com/show_bug.cgi?id=2189308
https://bugzilla.redhat.com/show_bug.cgi?id=2190412
https://bugzilla.redhat.com/show_bug.cgi?id=2196421
https://bugzilla.redhat.com/show_bug.cgi?id=2196920
https://bugzilla.redhat.com/show_bug.cgi?id=2203098
https://bugzilla.redhat.com/show_bug.cgi?id=2203160
https://bugzilla.redhat.com/show_bug.cgi?id=2203747
https://bugzilla.redhat.com/show_bug.cgi?id=2204479
https://bugzilla.redhat.com/show_bug.cgi?id=2207702
https://bugzilla.redhat.com/show_bug.cgi?id=2207718
https://bugzilla.redhat.com/show_bug.cgi?id=2209109
https://bugzilla.redhat.com/show_bug.cgi?id=2209300
プラグインの詳細
深刻度: Medium
ID: 177348
ファイル名: redhat-RHSA-2023-3623.nasl
バージョン: 1.2
タイプ: local
エージェント: unix
公開日: 2023/6/15
更新日: 2024/6/3
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 4.4
CVSS v2
リスクファクター: Low
基本値: 3.5
現状値: 2.7
ベクトル: CVSS2#AV:N/AC:M/Au:S/C:N/I:P/A:N
CVSS スコアのソース: CVE-2021-4231
CVSS v3
リスクファクター: Medium
基本値: 5.4
現状値: 4.9
ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:redhat:enterprise_linux:ceph-mib, p-cpe:/a:redhat:enterprise_linux:ceph, p-cpe:/a:redhat:enterprise_linux:python3-rados, p-cpe:/a:redhat:enterprise_linux:rbd-nbd, p-cpe:/a:redhat:enterprise_linux:python3-ceph-argparse, p-cpe:/a:redhat:enterprise_linux:librgw2, p-cpe:/a:redhat:enterprise_linux:libradospp-devel, p-cpe:/a:redhat:enterprise_linux:python3-ceph-common, p-cpe:/a:redhat:enterprise_linux:libradosstriper1, p-cpe:/a:redhat:enterprise_linux:librgw-devel, p-cpe:/a:redhat:enterprise_linux:cephadm, p-cpe:/a:redhat:enterprise_linux:librados-devel, p-cpe:/a:redhat:enterprise_linux:librbd-devel, cpe:/o:redhat:enterprise_linux:9, p-cpe:/a:redhat:enterprise_linux:python3-cephfs, p-cpe:/a:redhat:enterprise_linux:ceph-common, p-cpe:/a:redhat:enterprise_linux:ceph-resource-agents, p-cpe:/a:redhat:enterprise_linux:cephfs-top, p-cpe:/a:redhat:enterprise_linux:librados2, p-cpe:/a:redhat:enterprise_linux:libcephfs2, p-cpe:/a:redhat:enterprise_linux:librbd1, p-cpe:/a:redhat:enterprise_linux:ceph-base, p-cpe:/a:redhat:enterprise_linux:ceph-fuse, p-cpe:/a:redhat:enterprise_linux:ceph-immutable-object-cache, p-cpe:/a:redhat:enterprise_linux:python3-rbd, p-cpe:/a:redhat:enterprise_linux:ceph-selinux, p-cpe:/a:redhat:enterprise_linux:python3-rgw, p-cpe:/a:redhat:enterprise_linux:libcephfs-devel
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2023/6/15
脆弱性公開日: 2022/5/26
参照情報
CVE: CVE-2021-4231, CVE-2022-31129