检测
分析
亚马逊Linux 2: apache ivy(唉- 2023 - 2165)
高Nessus插件ID 178826
语言:
剧情简介
远程Linux亚马逊2主机缺少安全更新。描述
版本的apache ivy 2.3.0-4之前安装在远程主机上。因此,脆弱性影响中引用alas2 - 2023 - 2165咨询。——当Apache Ivy下载工件从一个存储库存储在本地文件系统基于用户提供的模式可能包括占位符工件坐标像组织模块或版本。如果坐标表示包含. ./为常春藤坐标序列,这是有效的字符一般规定——可能是工件存储之外的常春藤的本地缓存存储库或可以覆盖不同工件的内部本地缓存。为了利用这个漏洞攻击者需要协作的远程存储库,因为艾薇将http请求包含问题. .序列和一个正常的存储库不会解释他们的一部分工件坐标。Apache Ivy 2.0.0 2.5.1的用户应该升级到艾薇2.5.1。(cve - 2022 - 37866)
注意Nessus没有检测这个问题但却只依赖于应用程序的自我报告的版本号。
解决方案
运行yum更新apache ivy的更新你的系统。另请参阅
https://alas.aws.amazon.com/al2/alas - 2023 - 2165. - html
https://alas.aws.amazon.com/cve/html/cve - 2022 - 37866. - html
插件的细节
严重程度:高
ID:178826年
文件名称:al2_alas - 2023 - 2165. -极佳
版本:1.0
类型:当地的
代理:unix
发表:7/26/2023
更新:7/26/2023
支持传感器:无摩擦评估AWS,无摩擦评估代理,Nessus代理,无代理的评估
风险信息
冲程体积
风险因素:低
分数:3.6
CVSS v2
风险因素:高
基础分数:7.8
时间分数:5.8
向量:CVSS2 # AV: N /交流:L /非盟:N / C: N /我:C: N
CVSS分数来源:cve - 2022 - 37866
CVSS v3
风险因素:高
基础分数:7.5
时间分数:6.5
向量:CVSS: 3.0 / AV: N /交流:L /公关:UI: N / N / S: U / C: N /我:H: N
时间向量:CVSS: 3.0 / E: U / RL: O / RC: C
漏洞信息
CPE:linux p-cpe:: amazon:: apache ivy,linux p-cpe:: amazon:: apache-ivy-javadoc,cpe / o:亚马逊:linux: 2
需要KB物品:主机/ local_checks_enabled,主机/ AmazonLinux /释放,主机/ AmazonLinux / rpm-list
利用缓解:没有任何已知的利用是可用的
补丁发布日期:7/20/2023
脆弱性出版日期:11/7/2022