Fedora 38 : slurm (2023-540de58d84)

critical Nessus プラグイン ID 187487

Language:

概要

リモートの Fedora ホストに 1 つ以上のセキュリティ更新プログラムがありません。

説明

リモートの Fedora 38 ホストには、FEDORA-2023-540de58d84 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

- SchedMD Slurm 22.05.x、23.02.x で問題が見つかりました。不適切なアクセスコントロールがあります: 攻撃者は、sbcast サブシステムで使用される拡張グループリストを変更し、権限のない拡張グループのセットでファイルを開くことができます。修正されたバージョンは、22.05.11および 23.02.7 です。(CVE-2023-49938)

- SchedMD Slurm 22.05.x、23.02.x、23.11.x で問題が見つかりました。二重解放により、攻撃者がサービス拒否を引き起こしたり任意のコードを実行したりする可能性があります修正されたバージョンは、22.05.11、23.02.7、23.11.1 です。(CVE-2023-49937)

- SchedMD Slurm 22.05.x、23.02.x、23.11.x で問題が見つかりました。NULL ポインターデリファレンスが、サービス拒否につながります。修正されたバージョンは、22.05.11、23.02.7、23.11.1 です。(CVE-2023-49936)

- SchedMD Slurm 23.02.x、23.11.x で問題が見つかりました。slurmd のメッセージ整合性のバイパスによる、不適切なアクセス制御があります。攻撃者は、slurmd プロセスとのやり取りの中で、root レベルの認証トークンを再利用できます。これにより、MUNGE 認証情報の望ましくない再利用から保護する RPC メッセージハッシュがバイパスされます。修正されたバージョンは、23.02.7および 23.11.1 です。(CVE-2023-49935)

- SchedMD Slurm 23.11.x で問題が見つかりました。SlurmDBD データベースに対する SQL インジェクションがあります。
修正済みバージョンは 23.11.1 です。(CVE-2023-49934)

- SchedMD Slurm 22.05.x、23.02.x、23.11.x で問題が見つかりました。通信チャネルでの送信中にメッセージの整合性が不適切に実施されます。これにより、メッセージハッシュチェックをバイパスする方法で、攻撃者が RPC トラフィックを変更する可能性があります。修正されたバージョンは、22.05.11、23.02.7、および 23.11.1です。
(CVE-2023-49933)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。