检测

Oracle Linux 9:webkit2gtk3 (ELSA-2023-6535)

critical Nessus 插件 ID 185852

语言:

简介

远程 Oracle Linux 主机缺少一个或多个安全更新。

描述

远程 Oracle Linux 9 主机上安装的程序包受到 ELSA-2023-6535 公告中提及的多个漏洞的影响。

 - 已通过改进内存处理解决此问题。此问题已在 iOS 16.6 和 iPadOS 16.6、tvOS 16.6、macOS Ventura 13.5、Safari 16.6、watchOS 9.6 中修复。处理 Web 内容可能会导致任意代码执行。(CVE-2023-38611)

 - 已通过改进的验证解决逻辑问题。此问题已在 macOS Ventura 13.3 中修复。用于封锁带通配符的域的内容安全策略可能会失败。(CVE-2023-32370)

 - 已通过改进内存处理解决此问题。已在 watchOS 9.3、tvOS 16.3、macOS Ventura 13.2、iOS 16.3 和 iPadOS 16.3 中修复此问题。处理 Web 内容可能会导致任意代码执行。
 (CVE-2023-32393)

 - 已通过改进检查解决此问题。此问题已在 iOS 16.6 和 iPadOS 16.6、tvOS 16.6、macOS Ventura 13.5、Safari 16.6、watchOS 9.6 中修复。处理 Web 内容可能会导致任意代码执行。
 (CVE-2023-38595, CVE-2023-38600)

 - 已通过改进检查解决此问题。此问题已在 iOS 15.7.8 和 iPadOS 15.7.8、iOS 16.6 和 iPadOS 16.6、tvOS 16.6、macOS Ventura 13.5、Safari 16.6、watchOS 9.6 中修复。网站可能会绕过同源策略。(CVE-2023-38572)

 - 已通过改进检查解决此问题。此问题已在 iOS 15.7.8 和 iPadOS 15.7.8、iOS 16.6 和 iPadOS 16.6、macOS Ventura 13.5、Safari 16.6 中修复。处理 Web 内容可能会导致任意代码执行。(CVE-2023-38597)

 - 此问题已通过改进的 iframe 沙盒执行解决。此问题已在 Safari 17 中修复。具有 JavaScript 执行权限的攻击者可能会执行任意代码。(CVE-2023-40451)

 - 已通过改进的验证解决内存损坏问题。此问题已在 iOS 15.6、iPadOS 15.6 和 macOS Monterey 12.5、Safari 15.6 中修复。- 处理恶意构建的 Web 内容可能会导致任意代码执行 (CVE-2022-32885)

 - 已通过删除来源信息解决此问题。此问题已在 macOS Ventura 13.3、Safari 16.4、iOS 16.4 和 iPadOS 16.4、iOS 15.7.4 和 iPadOS 15.7.4、tvOS 16.4、watchOS 9.4 中修复。网站可能会跟踪敏感的用户信息。(CVE-2023-27954)

 - 已通过改进检查解决此问题。此问题已在 iOS 15.7.8 和 iPadOS 15.7.8、iOS 16.6 和 iPadOS 16.6、tvOS 16.6、macOS Ventura 13.5、Safari 16.6、watchOS 9.6 中修复。处理 Web 内容可能会导致任意代码执行。(CVE-2023-38594)

 - 已通过改进的状态管理解决此问题。此问题已在 macOS Ventura 13.3、Safari 16.4、iOS 16.4 和 iPadOS 16.4、tvOS 16.4、watchOS 9.4 中修复。处理恶意构建的 Web 内容可能会绕过同源策略。(CVE-2023-27932)

 - 已通过改进内存管理解决释放后使用问题。此问题已在 iOS 17 和 iPadOS 17、watchOS 10、macOS Sonoma 14 中修复。处理 Web 内容可能会导致任意代码执行。
 (CVE-2023-39434)

 - 已通过改进的状态管理解决逻辑问题。此问题已在 Safari 16.6、watchOS 9.6、iOS 15.7.8 和 iPadOS 15.7.8、tvOS 16.6、iOS 16.6 和 iPadOS 16.6、macOS Ventura 13.5 中修复。网站可能会跟踪敏感的用户信息。(CVE-2023-38599)

 - 已通过改进限制解决逻辑问题。此问题已在 iOS 16.6 和 iPadOS 16.6、watchOS 9.6、tvOS 16.6、macOS Ventura 13.5 中修复。处理 Web 内容可能会导致任意代码执行。
 (CVE-2023-38592)

 - 已通过改进内存管理解决释放后使用问题。此问题已在 iOS 16.4、iPadOS 16.4 和 macOS Ventura 13.3 中修复。处理 Web 内容可能会导致任意代码执行。
 (CVE-2023-28198)

 - 已通过改进检查解决此问题。此问题已在 iOS 15.7.8 和 iPadOS 15.7.8、iOS 16.6 和 iPadOS 16.6、tvOS 16.6、macOS Ventura 13.5、Safari 16.6、watchOS 9.6 中修复。处理 Web 内容可能会泄露敏感信息。(CVE-2023-38133)

 - 已通过改进检查解决此问题。此问题已在 macOS Ventura 13.5 中修复。远程攻击者可能会造成任意 javascript 代码执行。(CVE-2023-40397)

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的程序包。

另见

https://linux.oracle.com/errata/ELSA-2023-6535.html

插件详情

严重性: Critical

ID: 185852

文件名: oraclelinux_ELSA-2023-6535.nasl

版本: 1.0

类型: local

代理: unix

发布时间: 2023/11/16

最近更新时间: 2023/11/16

支持的传感器: Frictionless Assessment Agent, Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 7.4

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 分数来源: CVE-2023-40451

CVSS v3

风险因素: Critical

基本分数: 9.8

时间分数: 8.5

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

CVSS 分数来源: CVE-2023-40397

漏洞信息

CPE: cpe:/a:oracle:linux:9:3:appstream_base, cpe:/a:oracle:linux:9::appstream, cpe:/o:oracle:linux:9, p-cpe:/a:oracle:linux:webkit2gtk3, p-cpe:/a:oracle:linux:webkit2gtk3-devel, p-cpe:/a:oracle:linux:webkit2gtk3-jsc, p-cpe:/a:oracle:linux:webkit2gtk3-jsc-devel

必需的 KB 项: Host/OracleLinux, Host/RedHat/release, Host/RedHat/rpm-list, Host/local_checks_enabled

易利用性: No known exploits are available

补丁发布日期: 2023/11/11

漏洞发布日期: 2023/3/27

参考资料信息

CVE: CVE-2022-32885, CVE-2023-27932, CVE-2023-27954, CVE-2023-28198, CVE-2023-32370, CVE-2023-32393, CVE-2023-38133, CVE-2023-38572, CVE-2023-38592, CVE-2023-38594, CVE-2023-38595, CVE-2023-38597, CVE-2023-38599, CVE-2023-38600, CVE-2023-38611, CVE-2023-39434, CVE-2023-40397, CVE-2023-40451