検出

Linux Distros のパッチ未適用の脆弱性: CVE-2023-30549

high Nessus プラグイン ID 247109

Language:

概要

Linux/Unix ホストには、ベンダーにより修正されていないことを示す脆弱性を持つ複数のパッケージがインストールされています。

説明

Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

 - Apptainer は、Linux 用のオープンソースコンテナプラットフォームです。CVE がパッチされていない古いオペレーティングシステムで、Apptainer < 1.1.0 、および apptainer-suid < 1.1.8 を含むインストールを介して悪用可能な ext4 use-after-free の欠陥が存在します。これには、Red Hat Enterprise Linux 7、Debian 10 Buster (linux-5.10 パッケージがインストールされていない限り)、Ubuntu 18.04 bionic および Ubuntu 20.04 Focal が含まれます。
 カーネルの use-after-free の欠陥が利用され、カーネルがサービス拒否を引き起こし、権限を昇格する可能性があります。Apptainer 1.1.8 には、setuid-root モードでの extfs ファイルシステムタイプのマウントをデフォルトで無効にするパッチが含まれています。その一方で、fuse2fs を使用する非 setuid rootless モードでの extfs ファイルシステムのマウントを引き続き許可しています。いくつかの回避策が考えられます。apptainer-suid をインストールしませんバージョン 1.1.0 から 1.1.7まで、または apptainer.conf で「allow setuid = no」を設定します。これには、権限のないユーザー名前空間を有効にする必要があります。apptainer 1.1.x バージョン を除いて、sif ファイル、extfs ファイル、squashfs ファイルのマウントを許可しません。また、その他の重要度の低い影響も受けません。暗号化された sif ファイルも、apptainer で権限のない場合にサポートされていません 1.1.x。あるいは、apptainer.conf/singularity.conf の「limit containers」オプションを使用して sif ファイルを信頼できるユーザー、グループ、パスに制限し、「allow container extfs = no」を設定して extfs オーバーレイファイルのマウントを許可しません。後者のオプション自体は、SIF ファイル内の extfs オーバーレイパーティションのマウントを禁止しないので、前者のオプションも必要です。CVE-2023-30549

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

ソリューション

現時点で既知の解決策はありません。

参考資料

https://ubuntu.com/security/CVE-2023-30549

プラグインの詳細

深刻度: High

ID: 247109

ファイル名: unpatched_CVE_2023_30549.nasl

バージョン: 1.1

タイプ: local

エージェント: unix

ファミリー: Misc.

公開日: 2025/8/9

更新日: 2025/8/9

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: High

基本値: 7.2

現状値: 5.3

ベクトル: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2023-30549

CVSS v3

リスクファクター: High

基本値: 7.8

現状値: 6.8

ベクトル: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/o:canonical:ubuntu_linux:24.04:-:lts, cpe:/o:canonical:ubuntu_linux:25.04, cpe:/o:canonical:ubuntu_linux:18.04:-:lts, p-cpe:/a:canonical:ubuntu_linux:singularity-container

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, global_settings/vendor_unpatched, Host/OS/identifier

エクスプロイトの容易さ: No known exploits are available

脆弱性公開日: 2023/4/25

参照情報

CVE: CVE-2023-30549