检测
分析学
Oracle Linux9: go工具集/ and/gang
关键值奈苏斯插件ID 178034
语言 :
简表
远程Oracle Linux主机缺一个或多个安全更新描述性
远程Oracle Linux9主机安装包受多脆弱度影响,见ELSA-2023-3923咨询go命令使用cgo时生成意外代码运行使用cgo程序时可能导致意想不到行为运行不可信模块时可能发生这种情况,该模块中包含目录并有新行字符模块使用 go命令检索GOPATH模式检索模块GO111MODLE=off,可能受影响)(CVE-2023-29402)
go命令使用cgo时构建时可执行任意代码运行去获取恶意模块或运行构建不信任代码的任何其他命令时可能发生这种情况由iringer标码触发使用#cgoLDFLAGS指令装有嵌入空间的标志处理不当,允许禁止标志通过LDFLAGS净化法走私,仅影响gcco编译器使用(CVE-2023-29405)
unix平台上,二进制运行时Go运行时行为不变在某些情况下这可能是危险的,例如倾弃存储状态或假设标准i/o文件描述符状态stuid/setgid二进制执行并关闭I/O文件描述符,打开文件可能导致意外内容高端阅读或写入
类似地,如果setuid/setgid程序通过恐慌或信号终止,它可能泄漏登记册内容(CVE-2023-29403)
go命令使用cgo时构建时可执行任意代码运行去获取恶意模块或运行构建不信任代码的任何其他命令时可能发生这种情况由iringer标码触发使用#cgoLDFLAGS指令数个非可选标志的参数被误认为可选性,允许不允许的标志通过LDFLAGS净化走私gc编译器和gccgo编译器都受此影响(CVE-2023-29404)
注意Nessus没有测试这些问题,而是只依赖应用自报版号
求解
更新受影响包并见
插件细节
严重性 :临界点
身份证 :178034
文件名 :oraclelinux_ELSA-2023-3923.nasl
版本化 :1.1
类型 :本地化
代理 :unix连接
家庭问题 :Oracle Linux局部安全检查
发布 :7/7/2023
更新 :7/2023
支持传感器 :无疑评估代理,内苏斯代理
风险信息
VPR
风险因子 :高位
分数 :7.4
CVSS v2
风险因子 :临界点
基础评分 :10
时间评分 :7.4
向量 :CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS评分源 :CVE2023-29405
CVSSv3
风险因子 :临界点
基础评分 :九点八
时间评分 :8.5
向量 :CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
时间向量 :CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE系统 :cpe:/a:oracle:linux:9::appstream,cpe:/o:oracle:linux:9,p-cpe:/a:oracle:linux:go-toolset,p-cpe:/a:oracle:linux:golang,p-cpe:/a:oracle:linux:golang-bin,p-cpe:/a:oracle:linux:golang-docs,p-cpe:/a:oracle:linux:golang-misc,p-cpe:/a:oracle:linux:golang-race,p-cpe:/a:oracle:linux:golang-src,p-cpe:/a:oracle:linux:golang-tests
需要kb项 :Host/OracleLinux,Host/RedHat/release,Host/RedHat/rpm-list,Host/local_checks_enabled
开发易斯 :无已知利用
补丁发布日期 :7/7/2023
漏洞发布日期 :6/8/2023
参考信息
CVE系统 :CVE2023-29402,CVE2023-29403,CVE2023-29404,CVE2023-29405
IAVB :2023-B-0040-S