Oracle Linux 7:istio (ELSA-2023-12357)

high Nessus 插件 ID 176420

简介

远程 Oracle Linux 主机缺少一个或多个安全更新。

描述

远程 Oracle Linux 7 主机上安装的多个程序包受到 ELSA-2023-12357 公告中提及的多个漏洞影响。

- Fortinet FortiSandbox 版本 4.2.0 至 4.2.2、4.0.0 至 4.0.2 及 FortiDeceptor 版本 3.2.3 至 4.1.0、4.0.0 至 4.0.2 及低于 3.3.3 的版本中存在不当特权管理,经身份验证的远程攻击者可通过构建的 HTTP 或 HTTPS 请求调用未授权的 API。
(CVE-2022-27487)

- Zero-channel BBS Plus v0.7.4 及更低版本中的跨站脚本漏洞允许远程攻击者通过不明向量注入任意脚本。(CVE-2022-27496)

- 在一些 Intel(R) NUC Laptop Kits BC0076 之前版本中,固件中存在不当初始化,可能允许特权用户通过本地访问,实现权限升级。(CVE-2022-27493)

- 接收特制的视频文件时,WhatsApp 中的整数下溢可能造成远程代码执行。(CVE-2022-27492)

- 在 IPS 引擎版本 7.201 至 7.214、7.001 至 7.113、6.001 至 6.121、5.001 至 5.258 及低于 4.086 的版本中,对 Fortinet FortiOS 中的通信渠道来源进行了不当验证,从而允许未经身份验证的远程攻击者触发通过构建的 TCP 请求向任意受害者发送被阻止的页面 HTML 数据,从而可能使受害者遭受洪流。(CVE-2022-27491)

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的程序包。

另见

https://linux.oracle.com/errata/ELSA-2023-12357.html

插件详情

严重性: High

ID: 176420

文件名: oraclelinux_ELSA-2023-12357.nasl

版本: 1.3

类型: local

代理: unix

发布时间: 2023/5/26

最近更新时间: 2023/12/25

支持的传感器: Frictionless Assessment Agent, Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: Medium

基本分数: 4.3

时间分数: 3.2

矢量: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N

CVSS 分数来源: CVE-2022-27496

CVSS v3

风险因素: High

基本分数: 8.8

时间分数: 7.7

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

CVSS 分数来源: CVE-2022-27488

漏洞信息

CPE: cpe:/o:oracle:linux:7, p-cpe:/a:oracle:linux:istio, p-cpe:/a:oracle:linux:istio-istioctl, p-cpe:/a:oracle:linux:kubeadm, p-cpe:/a:oracle:linux:kubectl, p-cpe:/a:oracle:linux:kubelet, p-cpe:/a:oracle:linux:olcne-agent, p-cpe:/a:oracle:linux:olcne-api-server, p-cpe:/a:oracle:linux:olcne-gluster-chart, p-cpe:/a:oracle:linux:olcne-grafana-chart, p-cpe:/a:oracle:linux:olcne-istio-chart, p-cpe:/a:oracle:linux:olcne-metallb-chart, p-cpe:/a:oracle:linux:olcne-nginx, p-cpe:/a:oracle:linux:olcne-oci-ccm-chart, p-cpe:/a:oracle:linux:olcne-olm-chart, p-cpe:/a:oracle:linux:olcne-prometheus-chart, p-cpe:/a:oracle:linux:olcne-utils, p-cpe:/a:oracle:linux:olcnectl

必需的 KB 项: Host/OracleLinux, Host/RedHat/release, Host/RedHat/rpm-list, Host/local_checks_enabled

易利用性: No known exploits are available

补丁发布日期: 2023/5/26

漏洞发布日期: 2022/3/31

参考资料信息

CVE: CVE-2022-27487, CVE-2022-27488, CVE-2022-27491, CVE-2022-27492, CVE-2022-27493, CVE-2022-27496