Nessus Network Monitor < 6.5.0 複数の脆弱性 (TNS-2024-17)
critical Nessus プラグイン ID 207713
Language:
概要
リモートシステムにインストールされている Tenable NNM のインスタンスは、複数の脆弱性の影響を受けます。説明
自己報告されたバージョンによると、リモートホストで実行されている Nessus Network Monitor は、6.5.0 より前です。したがって、TNS-2024-17 のアドバイザリに記載されている複数の脆弱性の影響を受けます。- Nessus Network Monitor は、サードパーティのソフトウェアを利用して、基盤となる機能の提供を支援します。いくつかのサードパーティコンポーネント (OpenSSL、expat、curl、libxml2) に複数の脆弱性が含まれていることが判明し、プロバイダーにより更新バージョンが利用可能になっています。警戒するため、ベストプラクティスな基準に従って、Tenable はこれらのコンポーネントをアップグレードし、この問題の潜在的な影響に対処することにしました。
Nessus Network Monitor 6.5.0 は、特定された脆弱性に対処するため、OpenSSL をバージョン 3.0.15 に、expat をバージョン 2.6.3 に、curl をバージョン 8.10.0 に、libxml2 をバージョン 2.13.1 に更新します。さらに、別の 1 つの脆弱性が発見、報告、修正されました。Nessus Network Monitor には、認証された権限を持つローカル攻撃者がローカル CLI 経由で NNM UI に任意のコードを挿入できる、蓄積型クロスサイトスクリプティングの脆弱性が存在します。- CVE-2024-9158 Tenable は、これらの問題に対処するため、Nessus Network Monitor 6.5.0 をリリースしました。インストールファイルは、次の Tenable Downloads Portal (https://www.tenable.com/downloads/nessus-network-monitor) から取得できます。(CVE-2024-34459、CVE-2024-45491、CVE-2024-45492、CVE-2024-6119、CVE-2024-6197、CVE-2024-7264、CVE-2024-8096、CVE-2024-9158)
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
Nessus Network Monitor 6.5.0 以降にアップグレードしてください。参考資料
プラグインの詳細
深刻度: Critical
ID: 207713
ファイル名: nnm_6_5_0.nasl
バージョン: 1.1
タイプ: local
エージェント: windows, macosx, unix
ファミリー: Misc.
公開日: 2024/9/25
更新日: 2024/9/25
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: Critical
基本値: 10
現状値: 7.8
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS スコアのソース: CVE-2024-45492
CVSS v3
リスクファクター: Critical
基本値: 9.8
現状値: 8.8
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
脆弱性情報
CPE: cpe:/a:tenable:nnm
必要な KB アイテム: installed_sw/Tenable NNM, Host/nnm_installed
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2024/9/24
脆弱性公開日: 2024/2/8
参照情報
CVE: CVE-2024-34459, CVE-2024-45491, CVE-2024-45492, CVE-2024-6119, CVE-2024-6197, CVE-2024-7264, CVE-2024-8096, CVE-2024-9158