Amazon Linux 2023assertj-core、assertj-core-javadocALAS2023-2026-1448]

high Nessus プラグイン ID 301341

Language:

概要

リモートの Amazon Linux 2023 ホストに、セキュリティ更新プログラムがありません。

説明

したがって、ALAS2023-2026-1448 のアドバイザリに記載されている脆弱性の影響を受けます。

AssertJ は、Java および Java Virtual MachineJVMに対して Fluent テストアサーションを提供します。バージョン 1.4.0 より前のバージョン 3.27.7より前のでは、XML 外部エンティティXXEの脆弱性が「org.assertj.core.util.xml.XmlStringPrettyFormatter」に存在します。「toXmlDocument(String)」メソッドが「DocumentBuilderFactory」をデフォルトで初期化します。サービス拒否 (DTD や外部エンティティを無効にしないでください) このフォーマッターは、「CharSequence」値に対する「isXmlEqualTo(CharSequence)」アサーションで使用されます。アプリケーションが脆弱になるのは、「org.assertj.core.api.AbstractCharSequenceAssert」の「isXmlEqualTo(CharSequence)」または「org.assertj.core.util.xml の「xmlPrettyFormat(String)」のいずれかで信頼できない XML 入力を使用する場合のみです。 XmlStringPrettyFormatter`。信頼できない XML 入力がこれらの方法で処理された場合、攻撃者が、「file://」URI「/etc/passwd」、アプリケーション構成ファイルなどを介して任意のローカルファイルを読み取る可能性があります。 HTTP/HTTPS URI を介してサーバーサイドリクエストフォージェリSSRFを実行したり、Billion Laughs エンティティ拡張攻撃を介してサービス拒否を引き起こしたりする可能性があります。「isXmlEqualTo(CharSequence)」は、バージョン 3.18.0 で XMLUnit のために廃止されており、バージョン 4.0で削除される予定です。影響を受けるバージョンのユーザーは、優先順位の順に「isXmlEqualTo(CharSequence)」を XMLUnit で置き換え、バージョン 3.27.7にアップグレードするか、信頼できない入力で「isXmlEqualTo(CharSequence)」または「XmlStringPrettyFormatter」を使用しないようにする必要があります。
「XmlStringPrettyFormatter」は過去に、AssertJ ユーザー向けの機能ではなく、「isXmlEqualTo(CharSequence)」のためのユーティリティと見なされていました。そのため、バージョン 3.27.7 で廃止され、バージョン 4.0で削除され、置換なしとなっています。CVE-2026-24400

Tenable は、前述の記述ブロックをテスト済み製品のセキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

「dnf update assertj-core --releasever 2023.10.20260302」または「dnf update --advisory ALAS2023-2026-1448 --releasever 2023.10.20260302」を実行して、お使いのシステムを更新してください。