检测

Oracle Linux 8:go-toolset: ol8addon (ELSA-2022-17956)

high Nessus 插件 ID 163040

语言:

简介

远程 Oracle Linux 主机缺少一个或多个安全更新。

描述

远程 Oracle Linux 8 主机上安装的多个程序包受到 ELSA-2022-17956 公告中提及的多个漏洞影响。

 - 在 Go 1.17.9 之前版本以及 1.18.x 的 1.18.1 之前版本中,encoding/pem 允许通过大量 PEM 数据造成解码堆栈溢出。(CVE-2022-24675)

 - 在 Go 1.17.9 之前版本以及 1.18.x 的 1.18.1 之前版本中,crypto/elliptic 的通用 P-256 特征允许通过长标量输入造成错误。(CVE-2022-28327)

 - Go 在 1.17.10 之前的版本和在 1.18.2 之前的 1.18.x 版本中权限分配不正确。当使用非零标记参数调用时,Faccessat 函数可能错误地报告文件可访问。
 (CVE-2022-29526)

 - 在 Go 1.18.x 版的 1.18.1 之前版本中,当提供某些格式错误的证书时, crypto/x509 中的 Certificate.Verify 可能会在 macOS 上造成错误。这允许远程 TLS 服务器造成 TLS 客户端错误。(CVE-2022-27536)

 - Go 项目报告:crypto/rand:rand.Read 因缓冲区太大而挂起。在 Windows 中,如果传递大于 1 << 32 - 1 字节的缓冲区,rand.Read 将无限期挂起。crypto/tls:会话票证缺少随机 ticket_age_add。crypto/tls 生成的会话票证不包含随机生成的 ticket_age_add,因此,能够观察 TLS 握手的攻击者可通过在会话恢复期间比较票证使用时间来关联连续的连接。os/exec:空 Cmd.Path 可导致在 Windows 上运行非预期的二进制文件。在 Windows 上,如果在未设置 Cmd.Path 并且在工作目录中有名为 ..com 或 ..exe 的二进制文件的情况下执行 Cmd.Run、cmd.Start、cmd.Output 或 cmd.CombinedOutput,则系统将执行这些代码。path/filepath: Clean(`.\c: `) 在 Windows 中返回 `c:`。在 Windows 中,filepath.Clean 函数可将无效路径转换为有效的绝对路径。例如, Clean(`.\c: `) 返回 `c: `。(CVE-2022-29804、CVE-2022-30580、CVE-2022-30634)

 - grafana-8.5.6-1.fc37 的自动更新。 ##### **变更日志** `` * 2022 年 6 月 29 日星期三 Andreas Gerstmayr <[email protected]> 8.5.6-1 - 更新标记 8.5.6 的上游社区源代码,请参阅变更日志 - 已更新 AGPLv3 的授权 - 将带注释的示例配置文件放在 /etc/grafana/grafana.ini 中 - 在构建进程中启用 Go 模块 - 根据 yarn v3 和 Zero Install 功能调整 Node.js bundling * Sun 2022 年 6 月 19 日 Robert-Andr Mauchin <[email protected]> - 7.5.15-3 - 针对 CVE-2022-1996、CVE-2022-24675、CVE-2022-28327、CVE-2022-27191、 CVE-2022-29526、CVE-2022-30629 重新构建`` (CVE-2022-30629)

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的程序包。

另见

https://linux.oracle.com/errata/ELSA-2022-17956.html

插件详情

严重性: High

ID: 163040

文件名: oraclelinux_ELSA-2022-17956.nasl

版本: 1.6

类型: local

代理: unix

发布时间: 2022/7/12

最近更新时间: 2023/10/18

支持的传感器: Frictionless Assessment Agent, Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: Medium

基本分数: 5

时间分数: 3.9

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N

CVSS 分数来源: CVE-2022-29526

CVSS v3

风险因素: High

基本分数: 7.8

时间分数: 7

矢量: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

CVSS 分数来源: CVE-2022-30580

漏洞信息

CPE: p-cpe:/a:oracle:linux:delve, p-cpe:/a:oracle:linux:go-toolset, p-cpe:/a:oracle:linux:golang, p-cpe:/a:oracle:linux:golang-bin, p-cpe:/a:oracle:linux:golang-docs, p-cpe:/a:oracle:linux:golang-misc, p-cpe:/a:oracle:linux:golang-race, p-cpe:/a:oracle:linux:golang-src, p-cpe:/a:oracle:linux:golang-tests, cpe:/o:oracle:linux:8

必需的 KB 项: Host/OracleLinux, Host/RedHat/release, Host/RedHat/rpm-list, Host/local_checks_enabled

可利用: true

易利用性: Exploits are available

补丁发布日期: 2022/7/12

漏洞发布日期: 2022/4/20

参考资料信息

CVE: CVE-2022-24675, CVE-2022-27536, CVE-2022-28327, CVE-2022-29526, CVE-2022-29804, CVE-2022-30580, CVE-2022-30629, CVE-2022-30634