Oracle Linux 9:git-lfs (ELSA-2024-2724)
medium Nessus 插件 ID 195133
语言:
简介
远程 Oracle Linux 主机缺少一个或多个安全更新。描述
远程 Oracle Linux 9 主机上安装的程序包受到 ELSA-2024-2724 公告中提及的多个漏洞的影响。- 验证包含具有未知公钥算法证书的证书链将导致 Certificate.Verify 发生错误。这会影响所有 crypto/tls 客户端,以及将 Config.ClientAuth 设置为 VerifyClientCertIfGiven 或 RequireAndVerifyClientCert 的服务器。TLS 服务器的默认行为是不验证客户端证书。(CVE-2024-24783)
- 如果 HTTP 重定向至与子域不匹配或与初始域不完全匹配的域,http.Client 不会转发敏感标头,例如 Authorization 或 Cookie。例如,从 foo.com 重定向至 www.foo.com 会转发 Authorization 标头,但重定向至 bar.com 则不会转发此标头。- 恶意构建的 HTTP 重定向可导致意外转发敏感标头。(CVE-2023-45289)
- 解析多部分表单(使用 Request.ParseMultipartForm 显式解析,或使用 Request.FormValue、Request.PostFormValue 或 Request.FormFile 隐式解析)时,对已解析表单总大小的限制并未应用到读取单个表单行时消耗的内存。因此,恶意构建的包含超长行的输入可以造成任意大量内存被分配,进而可能导致内存耗尽。修复之后,ParseMultipartForm 函数现在可以正确限制表单行的最大大小。(CVE-2023-45290)
- 攻击者可能会通过发送过量的 CONTINUATION 帧,造成 HTTP/2 端点读取任意数量的标头数据。维护 HPACK 状态需要解析和处理一个连接中的所有标头和 CONTINUATION 框架。如果请求的标头超过 MaxHeaderBytes,系统不会分配内存来存储超出的标头,但仍会对其进行解析。这允许攻击者导致 HTTP/2 端点读取任意数量的标头数据,所有数据都与将被拒绝的请求相关。这些标头可包含经哈夫曼 (Huffman) 解码的数据,接收者解码这些数据的成本比攻击者发送这些数据的成本高很多。此次修复对关闭连接前要处理的过量标头帧数量设定了限制。(CVE-2023-45288)
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
更新受影响的 git-lfs 程序包。另见
插件详情
严重性: Medium
ID: 195133
文件名: oraclelinux_ELSA-2024-2724.nasl
版本: 1.1
类型: local
代理: unix
发布时间: 2024/5/7
最近更新时间: 2024/5/10
支持的传感器: Frictionless Assessment Agent, Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 5.1
CVSS v2
风险因素: High
基本分数: 7.8
时间分数: 6.1
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:N/A:N
CVSS 分数来源: CVE-2023-45289
CVSS v3
风险因素: Medium
基本分数: 5.9
时间分数: 5.3
矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
CVSS 分数来源: CVE-2024-24783
漏洞信息
CPE: cpe:/a:oracle:linux:9::appstream, cpe:/o:oracle:linux:9, p-cpe:/a:oracle:linux:git-lfs
必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/OracleLinux
可利用: true
易利用性: Exploits are available
补丁发布日期: 2024/5/7
漏洞发布日期: 2024/3/5
参考资料信息
CVE: CVE-2023-45288, CVE-2023-45289, CVE-2023-45290, CVE-2024-24783