リモートの Redhat Enterprise Linux 8 ホストにインストールされているパッケージは、RHSA-2024: 0745 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

  rgw に欠陥が見つかりました。この欠陥により、POST のフォームデータに、リクエストの署名に使用されたバケットの名前と一致する値を持つ「bucket」と呼ばれるキーが含まれている場合、権限のないユーザーが、特定のキーでアクセス可能なバケットに書き込みを行う可能性があります。この問題により、POST ポリシーのバケットが前述の POST フォームパーツのバケットと一致している限り、ユーザーは指定されたアクセスキーでアクセス可能な任意のバケットにアップロードできます。(CVE-2023-43040) (CVE-2023-43040)

  - IBM Storage Ceph 5.3z1、5.3z5、および 6.1z1 では、ネットワーク上の認証されたユーザーが、RGW からのサービス拒否を引き起こす可能性があります。IBM X-Force ID: 268906。(CVE-2023-46159)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

検出

RHEL 8: Red Hat Ceph Storage 5.3 セキュリティ更新 (重要度中) (RHSA-2024: 0745)

medium Nessus プラグイン ID 190334

バージョン 1.1