Oracle Linux 7 / 8:olcne / istio / istio (ELSA-2022-9362)
high Nessus 插件 ID 160858
语言:
简介
远程 Oracle Linux 主机缺少一个或多个安全更新。描述
远程 Oracle Linux 7 / 8 主机上安装的程序包受到 ELSA-2022-9362 公告中提及的多个漏洞的影响。- Istio 是用于连接、管理和保护微服务的开放平台。在受影响的版本中,Istio 控制平面 istiod 容易受到请求处理错误的影响,从而使恶意攻击者能够发送特制的消息,当公开暴露群集的验证 Webhook 时,可导致控制平面崩溃。此端点通过 TLS 端口 15017 提供服务,但不需要来自攻击者的任何认证。对于简单安装,通常只能从群集内访问 Istiod,从而限制了爆炸半径。但是,对于某些部署,尤其是 [external istiod](https://istio.io/latest/docs/setup/install/external-controlplane/) 拓扑结构,此端口会通过公共 Internet 暴露。已在版本 1.13.2、 1.12.5 和 1.11.8中修补此问题。建议所有用户都进行升级。无法升级的用户应禁用对公共 Internet 公开的验证 Webhook 的访问权限,或将可对其进行查询的 IP 地址集限制为一组已知的受信任实体。 (CVE-2022-24726)
- Go 1.16.15 之前版本以及 Go 1.17.x 至 1.17.8 版本中的 regexp.Compile 允许通过深度嵌套的表达式耗尽堆栈。(CVE-2022-24921)
请注意,Nessus 尚未测试这些问题,而是只依靠应用程序自我报告的版本号来判断。
解决方案
更新受影响的程序包。另见
插件详情
严重性: High
ID: 160858
文件名: oraclelinux_ELSA-2022-9362.nasl
版本: 1.3
类型: local
代理: unix
发布时间: 2022/5/10
最近更新时间: 2022/8/9
支持的传感器: Frictionless Assessment Agent, Nessus Agent, Nessus
风险信息
VPR
风险因素: Low
分数: 3.6
CVSS v2
风险因素: Medium
基本分数: 5
时间分数: 3.7
矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P
CVSS 分数来源: CVE-2022-24921
CVSS v3
风险因素: High
基本分数: 7.5
时间分数: 6.5
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: cpe:/o:oracle:linux:7, cpe:/o:oracle:linux:8, p-cpe:/a:oracle:linux:istio, p-cpe:/a:oracle:linux:istio-istioctl, p-cpe:/a:oracle:linux:olcne-agent, p-cpe:/a:oracle:linux:olcne-api-server, p-cpe:/a:oracle:linux:olcne-gluster-chart, p-cpe:/a:oracle:linux:olcne-grafana-chart, p-cpe:/a:oracle:linux:olcne-istio-chart, p-cpe:/a:oracle:linux:olcne-nginx, p-cpe:/a:oracle:linux:olcne-oci-csi-chart, p-cpe:/a:oracle:linux:olcne-olm-chart, p-cpe:/a:oracle:linux:olcne-prometheus-chart, p-cpe:/a:oracle:linux:olcne-utils, p-cpe:/a:oracle:linux:olcnectl
必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/OracleLinux
易利用性: No known exploits are available
补丁发布日期: 2022/5/9
漏洞发布日期: 2022/3/5
参考资料信息
CVE: CVE-2022-24726, CVE-2022-24921
IAVB: 2022-B-0011-S