検出

Linux Distros のパッチ未適用の脆弱性: CVE-2023-42503

medium Nessus プラグイン ID 227307

Language:

概要

Linux/Unix ホストには、ベンダーにより修正されていないことを示す脆弱性を持つ複数のパッケージがインストールされています。

説明

Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

 - 不適切な入力検証、TAR 解析における Apache Commons Compress の制御されていないリソース消費の脆弱性。この問題は、影響を受けます。この問題は、 1.221.24.0以前の Apache Commons Compress: に影響します。ユーザーには、この問題を修正したバージョンであるバージョン 1.24.0 へのアップグレードをお勧めします。サードパーティが、ファイル変更時間ヘッダーを操作することで、無効な形式の TAR ファイルを作成する可能性があります。これが Apache Commons Compress で解析された場合、CPU 消費によりサービス拒否の問題が発生します。Apache Commons Compress のバージョン 1.22 で、高精度のファイル変更時間のサポートが追加されました(問題 )。このデータを伝送する PAX 拡張ヘッダーの形式は、ピリオド [2] で区切られた 2 つの数字で構成され、秒および秒以下の精度を示します( 1647221103.5998539など)。影響を受けるフィールドは、atime、ctime、mtime、および LIBARCHIVE.creationtime です。ヘッダー値の解析前に入力検証は実行されません。これらの数値の解析では、JDKのBigDecimal [3]クラスを使用します。このクラスには、多数の操作を行うときに一般に知られているアルゴリズムの複雑性の問題があり、サービス拒否を引き起こします(問題 JDK-6560193 [4]を参照)。サードパーティは、非常に長い小数部(300,000 桁)または指数表記付きの数字(9e9999999 など)をファイル修正タイムヘッダー内に配置することで、TAR ファイルのファイルタイムヘッダーを操作し、これらを伴うファイルの解析により操作することができます。ヘッダーの取得に数秒ではなく数時間かかるため、CPU リソースの枯渇によるサービス拒否が発生します。この問題はと同様です CVE-2012-2098 [5]。 [1]: https://issues.apache.org/jira/browse/COMPRESS-612 [2]:
 https://pubs.opengroup.org/onlinepubs/9699919799/utilities/pax.html#tag_20_92_13_05 [3]:
 https://docs.oracle.com/javase/8/docs/api/java/math/BigDecimal.html [4]:
 https://bugs.openjdk.org/browse/JDK-6560193 [5]: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2098 TAR ファイルを解析するために CompressorStreamFactory クラス(ファイルタイプの自動検出付き)、TarArchiveInputStream および TarFile クラスを使用するアプリケーションのみが影響を受けます。このコードは v1.22 で導入されたため、影響を受けるのはそのバージョン 以降のバージョンのみです。 (CVE-2023-42503)

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

ソリューション

現時点で既知の解決策はありません。

参考資料

https://security-tracker.debian.org/tracker/CVE-2023-42503

https://ubuntu.com/security/CVE-2023-42503

プラグインの詳細

深刻度: Medium

ID: 227307

ファイル名: unpatched_CVE_2023_42503.nasl

バージョン: 1.2

タイプ: local

エージェント: unix

ファミリー: Misc.

公開日: 2025/3/5

更新日: 2025/8/18

サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.6

CVSS v2

リスクファクター: Medium

基本値: 4.3

現状値: 3.2

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:N/A:P

CVSS スコアのソース: CVE-2023-42503

CVSS v3

リスクファクター: Medium

基本値: 5.5

現状値: 4.8

ベクトル: CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/o:canonical:ubuntu_linux:25.04, cpe:/o:canonical:ubuntu_linux:20.04:-:lts, p-cpe:/a:canonical:ubuntu_linux:libcommons-compress-java, cpe:/o:canonical:ubuntu_linux:24.04:-:lts, cpe:/o:canonical:ubuntu_linux:16.04:-:lts, cpe:/o:canonical:ubuntu_linux:18.04:-:lts, cpe:/o:canonical:ubuntu_linux:22.04:-:lts, p-cpe:/a:debian:debian_linux:libcommons-compress-java, cpe:/o:debian:debian_linux:12.0

必要な KB アイテム: Host/OS/identifier, Host/cpu, Host/local_checks_enabled, global_settings/vendor_unpatched

エクスプロイトの容易さ: No known exploits are available

脆弱性公開日: 2023/9/14

参照情報

CVE: CVE-2023-42503