Amazon Linux AMI:apache-ivy(ALAS-2023-1863)
high Nessus 插件 ID 183846
语言:
简介
远程 Amazon Linux AMI 主机缺少安全更新。描述
远程主机上安装的 apache-ivy 版本低于 2.2.0-5.2。因此,该应用程序受到 ALAS-2023-1863 公告中提及的漏洞的影响。- Apache Software Foundation Apache Ivy 中存在不当限制 XML 外部实体引用、XML 注入(又称盲目 XPath 注入)漏洞。此问题会影响 Apache Ivy 2.5.2 之前的所有版本。Apache Ivy 2.5.2 之前的版本在解析 XML 文件时(其自身的配置、Ivy 文件或 Apache Maven POM),将允许下载外部文档类型定义,并在使用时展开其中包含的任何实体引用。攻击者可利用此漏洞泄露数据,访问仅运行 Ivy 的计算机可以访问的资源,或以不同方式干扰 Ivy 的执行。Ivy 2.5.2 及更高版本在默认情况下禁用 DTD 处理,但在解析 Maven POM 时除外,此时的默认设置为允许 DTD 处理,但仅包含随附 Ivy 的 DTD 片段,该片段可用于处理现有 Maven POM(无效的 XML 文件,但仍被 Maven 接受)。如果需要,可以通过新引入的系统属性来放宽访问权限。Ivy 2.5.2 之前版本的用户可以使用 Java 系统属性来限制外部 DTD 的处理,请参阅《Oracle Java API for XML Processing (JAXP) 安全指南》中有关外部访问的 JAXP 属性限制部分。
(CVE-2022-46751)
请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
运行“yum update apache-ivy”以更新系统。另见
https://alas.aws.amazon.com/ALAS-2023-1863.html
插件详情
严重性: High
ID: 183846
文件名: ala_ALAS-2023-1863.nasl
版本: 1.2
类型: local
代理: unix
发布时间: 2023/10/25
最近更新时间: 2023/12/15
支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 4.2
CVSS v2
风险因素: High
基本分数: 8.5
时间分数: 6.3
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:N/A:P
CVSS 分数来源: CVE-2022-46751
CVSS v3
风险因素: High
基本分数: 8.2
时间分数: 7.1
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:L
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: p-cpe:/a:amazon:linux:apache-ivy, p-cpe:/a:amazon:linux:apache-ivy-javadoc, cpe:/o:amazon:linux
必需的 KB 项: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
易利用性: No known exploits are available
补丁发布日期: 2023/10/12
漏洞发布日期: 2023/8/21
参考资料信息
CVE: CVE-2022-46751