检测
分析
EulerOS虚拟化2.10.1:tpm2-tss (EulerOS - sa - 2023 - 2458)
媒介Nessus插件ID 179015
剧情简介
远程EulerOS虚拟化主机缺少安全更新。描述
根据tpm2-tss包安装的版本,EulerOS虚拟化安装在远程主机上受以下漏洞:——tpm2-tss是一个开源的软件实现可信计算组(TCG)可信平台模块(TPM) 2软件栈(TSS2)。影响版本“Tss2_RC_SetHandler”和“Tss2_RC_Decode”两个指数与一个8位layer_handler的层数,但只有“TPM2_ERROR_TSS2_RC_LAYER_COUNT”条目数组,所以试图添加一个处理程序编号较大的层或解码的响应代码这样的层数读取/写入超过缓冲区的末尾。这个缓冲区溢出,可能导致执行任意代码。攻击的一个例子是总线MiTM攻击返回0 xffffffff RC。鉴于TPM的常见用例模块攻击者必须有本地访问到目标机与本地系统权限允许访问TPM系统。通常TPM访问要求行政特权。(cve - 2023 - 22745)
注意,站得住脚的网络安全已经直接从EulerOS前面的描述块中提取安全咨询。站得住脚的试图自动清洁和格式尽可能不引入额外的问题。
解决方案
更新影响tpm2-tss包。另请参阅
插件的细节
严重程度:媒介
ID:179015年
文件名称:euleros_sa - 2023 - 2458. -极佳
版本:1.0
类型:当地的
家庭:华为当地安全检查
发表:7/28/2023
更新:7/28/2023
风险信息
冲程体积
风险因素:媒介
分数:6.7
CVSS v2
风险因素:媒介
基础分数:5.9
时间分数:4.6
向量:CVSS2 # AV: L /交流:H /非盟:M / C: C / I: C / A: C
CVSS分数来源:cve - 2023 - 22745
CVSS v3
风险因素:媒介
基础分数:6.4
时间分数:5.8
向量:CVSS: 3.0 / AV: L /交流:H /公关:H / UI: N / S: U / C: H /我:H: H
时间向量:CVSS: 3.0 / E: P / RL: O / RC: C
漏洞信息
CPE:p-cpe: /:华为:euleros: tpm2-tss,cpe / o:华为:euleros: uvp: 2.10.1
需要KB物品:主机/ local_checks_enabled,主机/ cpu,主机/ EulerOS /释放,主机/ EulerOS / rpm-list,主机/ EulerOS / uvp_version
利用可用的:真正的
利用缓解:利用可用的
补丁发布日期:7/28/2023
脆弱性出版日期:1/10/2023