検出

Amazon Linux 2 : virtuoso-opensource (ALAS-2023-2360)

high Nessus プラグイン ID 186555

Language:

概要

リモートの Amazon Linux 2 ホストに、セキュリティ更新プログラムがありません。

説明

リモートホストにインストールされている virtuoso-opensource のバージョンは、7.2.11-1 より前です。したがって、ALAS2-2023-2360 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

 - openlink virtuoso-opensource v7.2.9 の __libc_malloc コンポーネントの問題により、攻撃者が細工された SQL ステートメントを介して、サービス拒否 (DoS) を引き起こす可能性があります。(CVE-2023-31607)

 - openlink virtuoso-opensource v7.2.9 の dfe_unit_col_loci コンポーネントの問題により、攻撃者が細工された SQL ステートメントを介して、サービス拒否 (DoS) を引き起こす可能性があります。(CVE-2023-31609)

 - openlink virtuoso-opensource v7.2.9 の _IO_default_xsputn コンポーネントの問題により、攻撃者が細工された SQL ステートメントを介して、サービス拒否 (DoS) を引き起こす可能性があります。(CVE-2023-31610)

 - openlink virtuoso-opensource v7.2.9 の __libc_longjmp コンポーネントの問題により、攻撃者が細工された SQL ステートメントを介して、サービス拒否 (DoS) を引き起こす可能性があります。(CVE-2023-31611)

 - openlink virtuoso-opensource v7.2.9 の bif_mod コンポーネントの問題により、攻撃者が細工された SQL ステートメントを介して、サービス拒否 (DoS) を引き起こす可能性があります。(CVE-2023-31616)

 - openlink virtuoso-opensource v7.2.9 の dk_set_delete コンポーネントの問題により、攻撃者が細工された SQL ステートメントを介して、サービス拒否 (DoS) を引き起こす可能性があります。(CVE-2023-31617)

 - openlink virtuoso-opensource v7.2.9 の sqlc_union_dt_wrap コンポーネントの問題により、攻撃者が細工された SQL ステートメントを介して、サービス拒否 (DoS) を引き起こす可能性があります。(CVE-2023-31618)

 - openlink virtuoso-opensource v7.2.9 の sch_name_to_object コンポーネントの問題により、攻撃者が細工された SQL ステートメントを介して、サービス拒否 (DoS) を引き起こす可能性があります。(CVE-2023-31619)

 - openlink virtuoso-opensource v7.2.9 の dv_compare コンポーネントの問題により、攻撃者が細工された SQL ステートメントを介して、サービス拒否 (DoS) を引き起こす可能性があります。(CVE-2023-31620)

 - openlink virtuoso-opensource v7.2.9 の kc_var_col コンポーネントの問題により、攻撃者が細工された SQL ステートメントを介して、サービス拒否 (DoS) を引き起こす可能性があります。(CVE-2023-31621)

 - openlink virtuoso-opensource v7.2.9 の sqlc_make_policy_trig コンポーネントの問題により、攻撃者が細工された SQL ステートメントを介して、サービス拒否 (DoS) を引き起こす可能性があります。(CVE-2023-31622)

 - openlink virtuoso-opensource v7.2.9 の mp_box_copy コンポーネントの問題により、攻撃者が細工された SQL ステートメントを介して、サービス拒否 (DoS) を引き起こす可能性があります。(CVE-2023-31623)

 - openlink virtuoso-opensource v7.2.9 の sinv_check_exp コンポーネントの問題により、攻撃者が細工された SQL ステートメントを介して、サービス拒否 (DoS) を引き起こす可能性があります。(CVE-2023-31624)

 - openlink virtuoso-opensource v7.2.9 の psiginfo コンポーネントの問題により、攻撃者が細工された SQL ステートメントを介して、サービス拒否 (DoS) を引き起こす可能性があります。(CVE-2023-31625)

 - openlink virtuoso-opensource v7.2.9 の strhash コンポーネントの問題により、攻撃者が細工された SQL ステートメントを介して、サービス拒否 (DoS) を引き起こす可能性があります。(CVE-2023-31627)

 - openlink virtuoso-opensource v7.2.9 の stricmp コンポーネントの問題により、攻撃者が細工された SQL ステートメントを介して、サービス拒否 (DoS) を引き起こす可能性があります。(CVE-2023-31628)

 - openlink virtuoso-opensource v7.2.9 の sqlo_union_scope コンポーネントの問題により、攻撃者が細工された SQL ステートメントを介して、サービス拒否 (DoS) を引き起こす可能性があります。(CVE-2023-31629)

 - openlink virtuoso-opensource v7.2.9 の sqlo_query_spec コンポーネントの問題により、攻撃者が細工された SQL ステートメントを介して、サービス拒否 (DoS) を引き起こす可能性があります。(CVE-2023-31630)

 - openlink virtuoso-opensource v7.2.9 の sqlo_preds_contradiction コンポーネントの問題により、攻撃者が細工された SQL ステートメントを介して、サービス拒否 (DoS) を引き起こす可能性があります。(CVE-2023-31631)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

「yum update virtuoso-opensource」を実行してシステムを更新してください。

参考資料

https://alas.aws.amazon.com/AL2/ALAS-2023-2360.html

https://alas.aws.amazon.com/faqs.html

https://alas.aws.amazon.com/cve/html/CVE-2023-31607.html

https://alas.aws.amazon.com/cve/html/CVE-2023-31609.html

https://alas.aws.amazon.com/cve/html/CVE-2023-31610.html

https://alas.aws.amazon.com/cve/html/CVE-2023-31611.html

https://alas.aws.amazon.com/cve/html/CVE-2023-31616.html

https://alas.aws.amazon.com/cve/html/CVE-2023-31617.html

https://alas.aws.amazon.com/cve/html/CVE-2023-31618.html

https://alas.aws.amazon.com/cve/html/CVE-2023-31619.html

https://alas.aws.amazon.com/cve/html/CVE-2023-31620.html

https://alas.aws.amazon.com/cve/html/CVE-2023-31621.html

https://alas.aws.amazon.com/cve/html/CVE-2023-31622.html

https://alas.aws.amazon.com/cve/html/CVE-2023-31623.html

https://alas.aws.amazon.com/cve/html/CVE-2023-31624.html

https://alas.aws.amazon.com/cve/html/CVE-2023-31625.html

https://alas.aws.amazon.com/cve/html/CVE-2023-31627.html

https://alas.aws.amazon.com/cve/html/CVE-2023-31628.html

https://alas.aws.amazon.com/cve/html/CVE-2023-31629.html

https://alas.aws.amazon.com/cve/html/CVE-2023-31630.html

https://alas.aws.amazon.com/cve/html/CVE-2023-31631.html

プラグインの詳細

深刻度: High

ID: 186555

ファイル名: al2_ALAS-2023-2360.nasl

バージョン: 1.9

タイプ: local

エージェント: unix

公開日: 2023/12/4

更新日: 2024/3/19

サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.4

CVSS v2

リスクファクター: High

基本値: 7.8

現状値: 6.1

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C

CVSS スコアのソース: CVE-2023-31631

CVSS v3

リスクファクター: High

基本値: 7.5

現状値: 6.7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:amazon:linux:virtuoso-opensource, p-cpe:/a:amazon:linux:virtuoso-opensource-debuginfo, cpe:/o:amazon:linux:2

必要な KB アイテム: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2023/11/29

脆弱性公開日: 2023/5/15

参照情報

CVE: CVE-2023-31607, CVE-2023-31609, CVE-2023-31610, CVE-2023-31611, CVE-2023-31616, CVE-2023-31617, CVE-2023-31618, CVE-2023-31619, CVE-2023-31620, CVE-2023-31621, CVE-2023-31622, CVE-2023-31623, CVE-2023-31624, CVE-2023-31625, CVE-2023-31627, CVE-2023-31628, CVE-2023-31629, CVE-2023-31630, CVE-2023-31631