Linux Distros のパッチ未適用の脆弱性: CVE-2024-2408
medium Nessus プラグイン ID 228000
Language:
概要
Linux/Unix ホストには、ベンダーにより修正されていないことを示す脆弱性を持つ複数のパッケージがインストールされています。説明
Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。- PHP の openssl_private_decrypt 関数は、PKCS1 パディング(OPENSSL_PKCS1_PADDING、デフォルト)を使用する際に、このプルリクエストからの変更を含む OpenSSL バージョンとともに使用されない限り、Marvin 攻撃に対して脆弱です。 https://github.com/openssl/openssl/pull/13817(rsa_pkcs1_implicit_rejection)。これらの変更は OpenSSL 3.2 の一部であり、さまざまな Linux ディストリビューションの安定バージョン、および以前のリリース以降 Windows 用に提供されていた PHP ビルドにもバックポートされています。すべてのディストリビューターとビルダーは、PHP が脆弱になるのを防ぐために、このバージョンが使用されていることを確認する必要があります。バージョン 8.1.29、8.2.20、8.3.8 以上の PHP Windows ビルドには、脆弱性を修正する OpenSSL パッチが含まれています。(CVE-2024-2408)
Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。
ソリューション
現時点で既知の解決策はありません。プラグインの詳細
深刻度: Medium
ID: 228000
ファイル名: unpatched_CVE_2024_2408.nasl
バージョン: 1.1
タイプ: local
エージェント: unix
ファミリー: Misc.
公開日: 2025/3/5
更新日: 2025/3/5
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 4.4
CVSS v2
リスクファクター: Medium
基本値: 5.4
現状値: 4.2
ベクトル: CVSS2#AV:N/AC:H/Au:N/C:C/I:N/A:N
CVSS スコアのソース: CVE-2024-2408
CVSS v3
リスクファクター: Medium
基本値: 5.9
現状値: 5.3
ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
脆弱性情報
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, global_settings/vendor_unpatched
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
脆弱性公開日: 2024/6/4
参照情報
CVE: CVE-2024-2408