MiracleLinux 8idm:DL1AXSA:2024-8410:01

high Nessus プラグイン ID 293162

概要

リモート MiracleLinux ホストに 1 つ以上のセキュリティ更新がありません。

説明

リモートのMiracleLinux 8ホストには、AXSA:2024-8410:01アドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

* JWCrypto: 特別に細工された JWE を介したサービス拒否 (CVE-2023-6681)
* python-jwcrypto悪意のある JWE トークンがサービス拒否を引き起こす可能性がありますCVE-2024-28102CVE-2023-50387 DNS プロトコルの特定の DNSSEC 側面により、RFC 4033、4034、4035、6840 および関連する RFC 内で、リモートの攻撃者がサービス拒否を引き起こす可能性がありますCPU 消費を引き起こす可能性があります。これは KeyTrap 問題とも呼ばれます。懸念の 1 つは、多数の DNSKEY および RRSIG レコードを持つゾーンがある場合に、アルゴリズムが DNSKEY と RRSIG レコードのすべての組み合わせを評価する必要があることをプロトコルの仕様が示唆していることです。
CVE-2023-6681 JWCryptoに脆弱性が見つかりました。この欠陥により、攻撃者がサービス拒否 (DoS) 攻撃を引き起こし、パスワードのブルートフォース攻撃と辞書攻撃によってリソースを大量に消費する可能性があります。この問題により、大量の計算が消費され、サービス拒否攻撃が引き起こされる可能性があります。
CVE-2024-28102 JWCrypto は、python-cryptography を使用して JWK、JWS、および JWE の仕様を実装します。
バージョン 1.5.6 より前では、攻撃者が悪意のある圧縮率の高い JWE トークンを渡すことで、サービス拒否攻撃を引き起こす可能性があります。サーバーがこのトークンを処理する際に、大量のメモリと処理時間を消費します。
バージョン 1.5.6 により、トークンの最大長を制限することで、この脆弱性が修正されます。
モジュール名: idm Stream name: DL1

Tenableは、前述の記述ブロックをMiracleLinuxセキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://tsn.miraclelinux.com/en/node/19594

プラグインの詳細

深刻度: High

ID: 293162

ファイル名: miracle_linux_AXSA-2024-8410.nasl

バージョン: 1.1

タイプ: local

公開日: 2026/1/20

更新日: 2026/1/20

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.2

Vendor

Vendor Severity: Moderate

CVSS v2

リスクファクター: High

基本値: 7.8

現状値: 6.1

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C

CVSS スコアのソース: CVE-2023-50387

CVSS v3

リスクファクター: High

基本値: 7.5

現状値: 6.7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:miracle:linux:ipa-healthcheck, p-cpe:/a:miracle:linux:softhsm, p-cpe:/a:miracle:linux:bind-dyndb-ldap-debugsource, p-cpe:/a:miracle:linux:python3-ipaserver, p-cpe:/a:miracle:linux:python3-yubico, p-cpe:/a:miracle:linux:opendnssec, p-cpe:/a:miracle:linux:python3-custodia, p-cpe:/a:miracle:linux:python3-jwcrypto, p-cpe:/a:miracle:linux:slapi-nis, p-cpe:/a:miracle:linux:ipa-client, p-cpe:/a:miracle:linux:python3-ipalib, p-cpe:/a:miracle:linux:ipa-client-epn, p-cpe:/a:miracle:linux:ipa-python-compat, p-cpe:/a:miracle:linux:ipa-server-common, p-cpe:/a:miracle:linux:softhsm-devel, p-cpe:/a:miracle:linux:opendnssec-debugsource, p-cpe:/a:miracle:linux:python3-qrcode-core, p-cpe:/a:miracle:linux:slapi-nis-debugsource, p-cpe:/a:miracle:linux:ipa-debugsource, p-cpe:/a:miracle:linux:python3-ipatests, p-cpe:/a:miracle:linux:ipa-client-samba, p-cpe:/a:miracle:linux:ipa-server-dns, p-cpe:/a:miracle:linux:python3-qrcode, cpe:/o:miracle:linux:8, p-cpe:/a:miracle:linux:ipa-server-trust-ad, p-cpe:/a:miracle:linux:python3-ipaclient, p-cpe:/a:miracle:linux:custodia, p-cpe:/a:miracle:linux:bind-dyndb-ldap, p-cpe:/a:miracle:linux:ipa-common, p-cpe:/a:miracle:linux:softhsm-debugsource, p-cpe:/a:miracle:linux:python3-kdcproxy, p-cpe:/a:miracle:linux:ipa-healthcheck-core, p-cpe:/a:miracle:linux:ipa-server, p-cpe:/a:miracle:linux:ipa-selinux, p-cpe:/a:miracle:linux:python3-pyusb, p-cpe:/a:miracle:linux:ipa-client-common

必要な KB アイテム: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2024/6/20

脆弱性公開日: 2023/12/28

参照情報

CVE: CVE-2023-50387, CVE-2023-6681, CVE-2024-28102