-
Notifications
You must be signed in to change notification settings - Fork 1
/
_nessus_vulns.py
431 lines (430 loc) · 71.9 KB
/
_nessus_vulns.py
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
429
430
431
#!/usr/bin/env python3
# -*- coding: utf-8 -*-
vulns_rus = {
'57608':{
'pluginName':'Сервис SMB без требования подписывания',
'description':'На хостах SMB-сервис не требует подписывания. Удаленный злоумышленник, не прошедший проверку подлинности, может использовать это для проведения атак типа «человек посередине» на SMB-сервер. Также данные хосты могут быть использованы при проведении NTLM/SMB Relay атак.',
'solution':'Включить принудительное подписывание сообщений SMB в конфигурации хоста. В Windows это можно найти в параметре политики «Microsoft network server: Digitally sign communications (always)». В Samba этот параметр называется «server signing».',
'see_also':'https://support.microsoft.com/en-us/help/887429/overview-of-server-message-block-signing\nhttps://docs.microsoft.com/en-us/previous-versions/orphan-topics/ws.11/cc731957(v=ws.11)?redirectedfrom=MSDN\nhttps://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc786681(v=ws.10)?redirectedfrom=MSDN\nhttps://www.samba.org/samba/docs/current/man-html/smb.conf.5.html\nhttps://library.netapp.com/ecmdocs/ECMP1196993/html/GUID-084BBC00-EBD4-4899-AD85-9628368D3AF2.html'
},
'58453':{
'pluginName':'Небезопасная конфигурация службы удаленных терминалов',
'description':'Службы удаленных терминалов не настроены на использование проверки подлинности на уровне сети (NLA). NLA использует протокол поставщика поддержки безопасности учетных данных (CredSSP) для выполнения строгой проверки подлинности сервера с помощью механизмов TLS / SSL или Kerberos, которые защищают от атак «человек посередине». NLA также помогает защитить удаленный компьютер от злонамеренных пользователей и программного обеспечения, выполняя аутентификацию пользователя до того, как будет установлено полное соединение RDP.',
'solution':'Включите проверку подлинности на уровне сети (NLA) на сервере RDP. Обычно это делается на вкладке «Remote» в настройках «System» в Windows.',
'see_also':'https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc732713(v=ws.11)'
},
'20007':{
'pluginName':'Использование уязвимых версий SSL',
'severity':'2',
'description':'На хосте используется SSL 2.0 и / или SSL 3.0. Эти версии SSL подвержены уязвимостям. Злоумышленник может использовать эти недостатки для проведения атак «человек посередине» или для расшифровки обмена данными между уязвимой службой и клиентами.',
'solution':'Рекомендуется отключить SSL 2.0 и 3.0. Вместо этого использовать TLS 1.2 (с утвержденными комплектами шифров) или выше.',
'see_also':'https://www.schneier.com/academic/paperfiles/paper-ssl.pdf\nhttps://www.openssl.org/~bodo/ssl-poodle.pdf'
},
'ssl_weak':{
'pluginName':'Использование небезопасного протокола TLS и/или SSL',
'severity':'1',
'description':'Хост поддерживает использование слабых шифров SSL. Использование устаревших и небезопасных протоколов шифрования позволяет злоумышленнику проводить атаки вида POODLE, Lucky13, SWEET32 и/или расшифровывать трафик.',
'solution':'Обновить протокол шифрования до TLS 1.2 или выше. Отказаться от использования слабых шифров (3DES, RC4). Для установления соединения использовать криптостойкие шифры, например AES-GCM.',
},
'ssl_wrong':{
'pluginName':'Использование небезопасных SSL-сертификатов',
'severity':'1',
'description':'Для организации безопасного соединения сервис использует небезопасный SSL-сертификат: сертификат с устаревшим сроком действия, с неправильной конфигурацией и/или с недоверенным УЦ.',
'solution':'Использовать безопасные сертификаты: выпущенные на доверенном УЦ; с криптографически стойкой длиной ключа (RSA не менее 2048 бит, AES не менее 256 бит); сертификат является действительным (срок действия не вышел); сертификат подписан с использование криптографически стойкой хэш-функции, например SHA-256; поле CN и адрес сервиса, на котором установлен сертификат, совпадают',
},
'18405':{
'pluginName':'Небезопасная конфигурация RDP',
'description':'Протокол RDP на удаленном сервере уязвим для атаки типа «человек посередине». Клиент RDP не прилагает никаких усилий для проверки подлинности сервера при настройке шифрования. Атака такого типа позволит злоумышленнику получить любую передаваемую конфиденциальную информацию, включая учетные данные для проверки подлинности.',
'solution':'Рекомендуется: принудительно использовать SSL в качестве транспортного уровня для этой службы, если поддерживается, или включить параметр «Allow connections only from computers running Remote Desktop with Network Level Authentication», если он доступен.',
'see_also':'https://techcommunity.microsoft.com/t5/enterprise-mobility-security/configuring-terminal-servers-for-server-authentication-to/ba-p/246602\nhttps://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc782610(v=ws.10)?redirectedfrom=MSDN'
},
'57690':{
'pluginName':'Использование слабой криптографии в RDP',
'description':'Служба удаленных терминалов не настроена на использования надежной криптографии. Использование слабой криптографии с этой службой может позволить злоумышленнику легче подслушивать сообщения и получать снимки экрана и / или нажатия клавиш.',
'solution':'Изменить уровень шифрования в RDP на один из вариантов: 3. High; 4. FIPS Compliant.',
},
'97861':{
'pluginName':'Небезопасная конфигурация NTP',
'description':'Режим 6 в NTP позволяет проводить «reflected DoS» атаки («NTP Amplification DoS attack»). В результате проверки было установлено, что данный хост может быть использован для атаки «NTP Amplification». Злоумышленник с помощью специального запроса типа «NTP mode 6» к данному хосту может выполнить атаку «NTP Amplification», направленную на произвольный хост в сети Интернет или локальной сети Заказчика. Это может привести к отказу в обслуживании атакуемой машины, а хост с сервисом NTP будет инструментом атаки.',
'solution':'Ограничить обработку запросов «NTP mode 6» сервисом NTP на хосте.',
'see_also':'https://ntpscan.shadowserver.org'
},
'90317':{
'pluginName':'Использование слабых алгоритмов в SSH',
'description':'На SSH-сервере не используется или используется криптографически слабый алгоритм шифрования (Arcfour).',
'solution':'Рекомендуется использовать в SSH криптографически стойкие алгоритмы шифрования (например, ECDSA с длиной ключа 512).',
},
'108797':{
'pluginName':'Неподдерживаемая версия ОС Windows',
'description':'На хостах используется неподдерживаемая версия ОС Windows. Отсутствие поддержки подразумевает, что производитель не выпустит новые исправления для продукта. В результате ОС будет подвержена все большему количеству обнаруженных уязвимостей.',
'solution':'Обновить ОС Windows до поддерживаемой версии. В случае невозможности обновления ОС изолируейте хост от производственной сети.',
},
'41028':{
'pluginName':'Community Name по умолчанию (public) в SNMP',
'description':'Можно подключиться к SNMP, используя имя сообщества по умолчанию (public). Злоумышленник может использовать это для получения дополнительных сведений об удаленном узле или для изменения конфигурации удаленной системы (если сообщество по умолчанию допускает такие изменения).',
'solution':'Отключить службу SNMP на удаленном хосте, если она не используется. Либо отфильтруйте входящие UDP-пакеты, идущие на этот порт, либо измените строку сообщества по умолчанию.',
},
'126263':{
'pluginName':'Уязвимость переполнения буфера в SolarWinds Dameware Mini Remote Control',
'description':'SolarWinds Dameware Mini Remote Control, работающий на удаленном хосте, подвержен уязвимости переполнения буфера из-за неправильной проверки получаемых от пользователя данных. Неаутентифицированный удаленный злоумышленник может эксплуатировать эту уязвимость и вызвать состояние «отказ в обслуживании».',
'solution':'Обновить SolarWinds Dameware Mini Remote Control до стабильной версии, не подверженной данной уязвимости.',
'see_also':'https://support.solarwinds.com/SuccessCenter/s/article/Dameware-Mini-Remote-Control-12-1-0-Hotfix-2-Release-Notes?language=en_US'
},
'76474':{
'pluginName':'Reflection DDoS в SNMP через запрос GETBULK',
'description':'Удаленный сервис SNMP отвечает большим количеством данных на запрос «GETBULK» со значением «max-repetitions», превышающим нормальное значение. Удаленный злоумышленник может использовать этот SNMP-сервер для проведения отраженной распределенной атаки типа «отказ в обслуживании» на произвольном удаленном хосте.',
'solution':'Отключить службу SNMP на удаленном хосте, если она не используется. Либо ограничить и контролировать доступ к этому сервису.',
'see_also':'https://www.darkreading.com/attacks-breaches/snmp-ddos-attacks-spike/d/d-id/1269149\nhttps://www.akamai.com/us/en/multimedia/documents/state-of-the-internet/snmp-reflector-attacks-threat-advisory.pdf'
},
'11213':{
'pluginName':'Разрешены HTTP методы TRACE / TRACK',
'severity':'1',
'description':'Удаленный веб-сервер поддерживает методы TRACE и / или TRACK. TRACE и TRACK — это методы HTTP, которые используются для отладки соединений с веб-сервером. Используя эти методы, злоумышленник может получить сведения о работе веб-сервера.',
'solution':'Рекомендуется отключить данные методы.',
'see_also':'https://www.cgisecurity.com/whitehat-mirror/WH-WhitePaper_XST_ebook.pdf'
},
'136929':{
'pluginName':'XSS в версиях JQuery 1.2 < 3.5.0',
'description':'На хосте установлена уязвимая версия JQuery. Уязвимости позволяют проводить XSS-атаки.',
'solution':'Обновить JQuery до последней стабильной версии.',
'see_also':'https://blog.jquery.com/2020/04/10/jquery-3-5-0-released/\nhttps://security.paloaltonetworks.com/PAN-SA-2020-0007.'
},
'90510':{
'pluginName':'MS16-047: уязвимость в SAM и LSAD',
'description':'На удаленный хост Windows влияет уязвимость, позволяющая повысить привилегий в протоколах управления учетными записями безопасности (SAM) и Local Security Authority (Domain Policy) (LSAD) из-за неправильного согласования уровня аутентификации по каналам удаленного вызова процедур (RPC). «Человек посередине», способный перехватывать пакеты между клиентом и сервером, на котором размещена база данных SAM, может использовать это, чтобы заставить уровень аутентификации понижаться, позволяя злоумышленнику выдавать себя за аутентифицированного пользователя и получать доступ к базе данных SAM.',
'solution':'Microsoft выпустила набор исправлений для Windows Vista, 2008, 7, 2008 R2, 2012, 8.1, RT 8.1, 2012 R2 и 10.',
'see_also':'https://docs.microsoft.com/en-us/security-updates/SecurityBulletins/2016/ms16-047'
},
'64394':{
'pluginName':'RCE в Portable SDK for UPnP Devices версии <1.6.18',
'description':'Используемая версия Portable SDK for UPnP Devices подвержена множественным критическим уязвимостям, позволяющим удаленно выполнять произвольный код в уязвимой системе.',
'solution':'Обновить libupnp до последней стабильной версии. Если libupnp используется как сторонняя библиотека другим приложением, обратитесь к поставщику этого приложения за исправлением.',
'see_also':'https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130129-upnp\nhttps://cert-portal.siemens.com/productcert/pdf/ssa-963338.pdf'
},
'34460':{
'pluginName':'Неподдерживаемая версия веб-сервера',
'description':'На хостах установлены неподдерживаемые версии веб-серверов. Отсутствие поддержки подразумевает, что поставщик не выпустит новые исправления для продукта. В результате веб-сервер будет содержать уязвимости безопасности.',
'solution':'Обновить веб-серверы до последних стабильных версий.',
},
'12085':{
'pluginName':'Файлы по умолчанию Apache Tomcat',
'description':'На веб-сервере Apache Tomcat доступны: страница ошибок по умолчанию, страница индекса по умолчанию, примеры JSP и / или примеры сервлетов. Эти файлы следует удалить, поскольку они могут помочь злоумышленнику раскрыть информацию об установленном Tomcat или самом хосте.',
'solution':'Удалите индексную страницу по умолчанию и удалите примеры JSP и сервлетов. Следуйте инструкциям Tomcat или OWASP, чтобы заменить или изменить страницу ошибок по умолчанию.',
'see_also':'https://www.owasp.org/index.php/Securing_tomcat\nhttps://cwiki.apache.org/confluence/display/TOMCAT/Miscellaneous#Miscellaneous-Q6'
},
'62694':{
'pluginName':'Internet Key Exchange (IKE) поддерживает Aggressive Mode с Pre-Shared Key',
'description':'Служба IKE поддерживает «Aggressive mode». Такая конфигурация может позволить злоумышленнику захватить и взломать PSK шлюза VPN и получить несанкционированный доступ к частным сетям.',
'solution':'Отключите «агрессивный режим», если он не используется. Не используйте Pre-Shared ключ для аутентификации, если это возможно. Если нельзя избежать использования Pre-Shared ключа, используйте надежные ключи. По возможности не разрешайте VPN-подключения с любых IP-адресов.',
'see_also':'http://www.nessus.org/u?8d6444d2\nhttps://www.ernw.de/download/pskattack.pdf\nhttps://www.securityfocus.com/bid/7423'
},
'125313':{
'pluginName':'Уязвимость в протоколе Microsoft RDP (BlueKeep)',
'description':'Удаленный хост подвержен уязвимости RCE (remote code execution - удаленного выполнения кода) в протоколе удаленного рабочего стола (RDP). Неаутентифицированный злоумышленник может эксплуатировать уязвимость протокола с помощью серии специально созданных запросов для выполнения произвольного кода на хосте с уязвимой версией ОС Windows.',
'solution':'Microsoft выпустила набор исправлений для ОС Windows XP, 2003, 2008, 7 и 2008 R2. Рекомендуется: включить проверку подлинности на уровне сети (NLA); установить обновления безопасности.',
'see_also':'https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708\nhttps://support.microsoft.com/ru-ru/help/4500705/customer-guidance-for-cve-2019-0708'
},
'97833':{
'pluginName':'MS17-010: множественные уязвимости в SMB',
'description':'Хост Windows подвержен уязвимостям. В Microsoft Server Message Block 1.0 (SMBv1) существует несколько уязвимостей удаленного выполнения кода из-за неправильной обработки определенных запросов. Неаутентифицированный удаленный злоумышленник может использовать эти уязвимости с помощью специально созданного пакета для выполнения произвольного кода. (CVE-2017-0143, CVE-2017-0144, CVE-2017-0145, CVE-2017-0146, CVE-2017-0148). Сервис также подвержен уязвимостям раскрытия информации (CVE-2017-0147). ETERNALBLUE, ETERNALCHAMPION, ETERNALROMANCE и ETERNALSYNERGY - четыре из множества уязвимостей и эксплойтов Equation Group, раскрытых в 2017/04/14 группой, известной как Shadow Brokers. WannaCry / WannaCrypt - это программа-вымогатель, использующая эксплойт ETERNALBLUE, а EternalRocks - это червь, использующий семь уязвимостей Equation Group. Petya - это программа-вымогатель, которая сначала использует CVE-2017-0199, уязвимость в Microsoft Office, а затем распространяется через ETERNALBLUE.',
'solution':'Microsoft выпустила набор исправлений для Windows Vista, 2008, 7, 2008 R2, 2012, 8.1, RT 8.1, 2012 R2, 10 и 2016. Microsoft также выпустила аварийные исправления для операционных систем Windows, которые больше не поддерживаются, в том числе Windows XP, 2003 и 8. Примените действующее обновление безопасности для вашей версии Windows: Windows Server 2008 (KB4018466); Windows 7 (KB4019264); Windows Server 2008 R2 (KB4019264); Windows Server 2012 (KB4019216); Windows 8.1 / RT 8.1 (KB4019215); Windows Server 2012 R2 (KB4019215); Windows 10 (KB4019474); Windows 10 Version 1511 (KB4019473); Windows 10 Version 1607 (KB4019472); Windows 10 Версия 1703 (KB4016871); Windows Server 2016 (KB4019472). Для неподдерживаемых операционных систем Windows, например Windows XP, Microsoft рекомендует пользователям прекратить использование SMBv1. В SMBv1 отсутствуют функции безопасности, которые были включены в более поздние версии SMB. SMBv1 можно отключить, следуя инструкциям поставщика, представленным в Microsoft KB2696547. Также рекомендуется блокировать SMB, блокируя TCP-порт 445 на пограничных сетевых устройствах. Для SMB через NetBIOS API заблокируйте TCP-порты 137/139 и UDP-порты 137/138 на пограничных сетевых устройствах.',
'see_also':'https://support.microsoft.com/en-us/help/2696547/how-to-detect-enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-and'
},
'10882':{
'pluginName':'Небезопасная конфигурация SSH',
'description':'SSH поддерживает соединения, использующие версии 1.33 и / или 1.5 протокола SSH. Эти протоколы не являются криптографически безопасными, поэтому их не следует использовать.',
'solution':'Рекомендуется отключить совместимость с версией 1 протокола SSH.',
},
'130458':{
'pluginName':'RCE в SolarWinds Dameware Mini Remote Control',
'description':'SolarWinds Dameware Mini Remote Control, работающий на удаленном хосте, подвержен уязвимости удаленного выполнения кода из-за неправильной проверки получаемых от пользователя данных. Неаутентифицированный удаленный злоумышленник может эксплуатировать эту уязвимость, чтобы выполнить произвольный код.',
'solution':'Обновить SolarWinds Dameware Mini Remote Control до последней стабильной версии, не подверженной данной уязвимости.',
'see_also':'https://support.solarwinds.com/SuccessCenter/s/article/Dameware-Mini-Remote-Control-12-1-0-Hotfix-3-Release-Notes?language=en_US'
},
'58987':{
'pluginName':'Неподдерживаемая версия PHP',
'description':'На веб-сайте используется неподдерживаемая версия PHP. Отсутствие поддержки подразумевает, что поставщик не выпустит новые исправления для продукта. Данные версии содержат множественные уязвимости.',
'solution':'Обновить PHP до последней стабильной версии.',
},
'142591':{
'pluginName':'Множественные уязвимости в PHP',
'description':'Используемая версия PHP содержит уязвимости, позволяющие удаленно выполнять код, проводить атаки типа DoS.',
'solution':'Обновить PHP до последней стабильной версии.',
},
'12217':{
'pluginName':'DNS-сервер позволяет отслеживать кэш',
'description':'DNS-сервер отвечает на запросы сторонних доменов, для которых не установлен бит рекурсии. Это может позволить удаленному злоумышленнику определить, какие домены были недавно разрешены через этот сервер имен и, следовательно, какие хосты были недавно посещены. Например, если злоумышленник интересуется, использует ли ваша компания онлайн-сервисы определенного финансового учреждения, он сможет использовать эту атаку для построения статистической модели использования компанией этого финансового учреждения. Также атака также может быть использована для поиска партнеров B2B, шаблонов веб-серфинга, внешних почтовых серверов и многого другого. Примечание. Если это внутренний DNS-сервер, недоступный для внешних сетей, атаки будут ограничены внутренней сетью. Это может включать сотрудников, консультантов и, возможно, пользователей в гостевой сети или WiFi-сети.',
'solution':'Обратитесь к поставщику программного обеспечения DNS для получения исправления.',
'see_also':'http://cs.unc.edu/~fabian/course_papers/cache_snooping.pdf'
},
'134220':{
'pluginName':'Раскрытие информации в nginx версии <1.17.7',
'description':'Используемая версия nginx подвержена уязвимости, позволяющей раскрывать чувствительную информацию.',
'solution':'Обновить nginx до последней стабильной версии.',
'see_also':'https://nginx.org/en/CHANGES'
},
'84729':{
'pluginName':'Неподдерживаемая версия ОС Microsoft Windows Server 2003',
'description':'На хосте используется неподдерживаемая версия ОС Windows Server 2003. Отсутствие поддержки подразумевает, что поставщик не выпустит новые исправления для продукта. В результате он будет содержать уязвимости безопасности. Кроме того, Microsoft не будет расследовать или принимать отчеты об уязвимостях.',
'solution':'Обновить ОС Windows до поддерживаемой версии.',
'see_also':'https://msrc-blog.microsoft.com/2017/04/14/protecting-customers-and-evaluating-risk/\nhttps://blogs.technet.microsoft.com/filecab/2016/09/16/stop-using-smb1/\nhttps://us-cert.cisa.gov/ncas/current-activity/2017/01/16/SMB-Security-Best-Practices'
},
'80101':{
'pluginName':'Раскрытие хэшей паролей через IPMI v2.0',
'description':'Удаленный хост поддерживает IPMI v2.0. Протокол интеллектуального управления платформой (IPMI) подвержен уязвимости, связанной с раскрытием информации из-за поддержки аутентификации с помощью протокола RMCP + аутентифицированный ключ-обмен (RAKP). Удаленный злоумышленник может получить информацию хеша пароля для действительных учетных записей пользователей через HMAC из ответа сообщения RAKP 2 от BMC.',
'solution':'Патч для этой уязвимости отсутствует - это неотъемлемая проблема со спецификацией IPMI v2.0. Предлагаемые смягчения включают: отключение IPMI, если он не используется; использование надежных паролей для защиты от атак с использованием словаря; использование списков контроля доступа (ACL) или изолированных сетей для ограничения доступа к интерфейсам управления IPMI.',
'see_also':'http://fish2.com/ipmi/remote-pw-cracking.html'
},
'100464':{
'pluginName':'Множественные уязвимости в Microsoft Windows SMBv1',
'description':'На хосте с Windows включен Microsoft Message Message Block 1.0 (SMBv1). Следовательно, это связано с многочисленными уязвимостями, раскрывающими информацию, позволяющими удаленно выполнять код и выполнять атаки типа «отказ в обслуживании»: CVE-2017-0267, CVE-2017-0268, CVE-2017-0270, CVE-2017-0271, CVE-2017-0274, CVE-2017-0275, CVE-2017-0276, CVE-2017-0269, CVE-2017-0273, CVE-2017-0280, CVE-2017-0272, CVE-2017-0277, CVE-2017-0278, CVE-2017-0279.',
'solution':'Примените действующее обновление безопасности для вашей версии Windows: Windows Server 2008 (KB4018466); Windows 7 (KB4019264); Windows Server 2008 R2 (KB4019264); Windows Server 2012 (KB4019216); Windows 8.1 / RT 8.1 (KB4019215); Windows Server 2012 R2 (KB4019215); Windows 10 (KB4019474); Windows 10 Version 1511 (KB4019473); Windows 10 Version 1607 (KB4019472); Windows 10 Версия 1703 (KB4016871); Windows Server 2016 (KB4019472). Для неподдерживаемых операционных систем Windows, например, Windows XP, Microsoft рекомендует прекратить использование SMBv1. SMBv1 можно отключить, следуя инструкциям поставщика, представленным в Microsoft KB2696547.',
'see_also':'https://support.microsoft.com/en-us/help/2696547/how-to-detect-enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-and'
},
'85582':{
'pluginName':'Веб-приложение потенциально уязвимо для атак Clickjacking',
'description':'Веб-сервер не устанавливает заголовок X-Frame-Options в ответе или заголовок Content-Security-Policy «frame-ancestors» во всех ответах. В связи с этим на сайте потенциально возможно проведение атаки clickjacking или UI redress, в которой злоумышленник может заставить пользователя нажать на область уязвимой страницы, которая отличается от того, что пользователь видит. Это может привести к выполнению от имени пользователя мошеннических или вредоносных транзакции.',
'solution':'Используйте HTTP заголовок X-Frame-Options или Content-Security-Policy (с директивой «frame-ancestors») в ответах от веб-сервера. Это предотвращает отображение контента другого сайта при использовании Frame или IFrame HTML-тегов.',
'see_also':'https://www.sans.org/blog/adoption-of-x-frame-options-header\nhttps://www.owass.org/index.php/clickjacking_defense_cheat_sheet\nhttps://en.wikipedia.org/wiki/Clickjacking.'
},
'129778':{
'pluginName':'Уязвимость раскрытия информации в HTTP-клиенте Cisco IOS',
'description':'HTTP-клиент в используемой версии IOS подвержен уязвимости, которая позволяет удаленному злоумышленнику, не прошедшему проверку подлинности, читать и изменять данные, которые обычно должны отправляться по зашифрованному каналу. Эта уязвимость связана с тем, что информация о порте TCP не учитывается при сопоставлении новых запросов с существующими постоянными соединениями HTTP. Злоумышленник может считать и использовать данные в атаке типа «человек посередине».',
'solution':'Обновить Cisco IOS до последней стабильной версии либо установить исправления указанные в идентификаторе ошибки Cisco CSCvf36258.',
'see_also':'https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190925-http-client\nhttps://bst.cloudapps.cisco.com/bugsearch/bug/CSCvf36258'
},
'44135':{
'pluginName':'Недостаточная фильтрация входных данных на веб-сервер',
'description':'На удаленном хосте работает веб-сервер, который не очищает должным образом строки запроса от вредоносного JavaScript кода. Используя эту проблему, злоумышленник может внедрить произвольные файлы cookie. В зависимости от структуры веб-приложения с помощью этого механизма может быть проведена атака «фиксации сеанса».',
'solution':'',
'see_also':'http://projects.webappsec.org/w/page/13246960/Session%20Fixation\nhttps://owasp.org/www-community/attacks/Session_fixation'
},
'cisco_ikev1_benigncertain':{
'pluginName':'Раскрытие информации через Cisco IOS IKEv1',
'severity':'3',
'description':'Служба IKE, работающая на удаленном устройстве Cisco IOS, подвержена уязвимости раскрытия информации в IKEv1, известной как BENIGNCERTAIN. Уязвимость позволяет раскрыть содержимое памяти устройства.',
'solution':'Обновить Cisco IOS до стабильной версии.',
'see_also':'https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160916-ikev1\nhttps://www.riskbasedsecurity.com/2016/08/the-shadow-brokers-lifting-the-shadows-of-the-nsas-equation-group/\nhttps://blogs.cisco.com/security/shadow-brokers'
},
'42263':{
'pluginName':'Использование небезопасного протокола Telnet',
'description':'На удаленном сервере используется Telnet, который передает трафик в открытом виде. Использование Telnet по незашифрованному каналу не рекомендуется, так как логины, пароли и команды передаются в открытом виде. Это позволяет злоумышленнику проводить атаки типа «человек посередине» и прослушивать сеанс Telnet для получения учетных данных или другой конфиденциальной информации и/или для изменения данных обмена между клиентом и сервером.',
'solution':'Отключите службу Telnet и вместо этого используйте SSH. SSH предпочтительнее Telnet, поскольку он защищает учетные данные от подслушивания и может туннелировать дополнительные потоки данных, такие как сеанс X11.',
},
'88099':{
'pluginName':'Раскрытие информации через HTTP заголовок',
'description':'HTTP заголовки, отправляемые веб-сервером, раскрывают информацию о веб-сервере (версия, используемые языки программирования и прочее). Это может помочь злоумышленнику при проведении атак.',
'solution':'Измените заголовки HTTP-сервера, чтобы не раскрывать подробную информацию о веб-сервере.',
},
'10595':{
'pluginName':'Небезопасная конфигурация DNS (разерешен AXFR)',
'description':'Удаленный сервер имен позволяет передавать зоны DNS. Передача зоны позволяет удаленному злоумышленнику мгновенно получить список потенциальных целей.',
'solution':'Рекомендуется: заблокировать в Firewall порт 53 TCP для запросов извне (нужно учитывать особенности инфраструктуры для репликации между сайтами организации); ограничить передачу зоны DNS только серверами, которым нужна информация. Рекомендации по настройке DNS сервера приведены в документе от SANS.',
'see_also':'https://www.sans.org/reading-room/whitepapers/dns/securing-dns-zone-transfer-868'
},
'35450':{
'pluginName':'DNS-сервер может использоваться в распределенной атаке «отказ в обслуживании»',
'description':"DNS-сервер отвечает на любой запрос. Можно запросить серверы имен (NS) корневой зоны ('.') и получить ответ, который больше исходного запроса. Подделывая IP-адрес источника, удаленный злоумышленник может использовать это «усиление» для запуска атаки типа «отказ в обслуживании» на сторонний хост, использующий удаленный DNS-сервер.",
'solution':'Ограничьте доступ к вашему DNS-серверу из публичной сети или перенастройте его, чтобы отклонять такие запросы.',
'see_also':'https://isc.sans.edu/diary/DNS+queries+for+/5713'
},
'42256':{
'pluginName':'NFS папки доступны всем на чтение',
'description':'На хосте доступен общий ресурс NFS без авторизации. Данный ресурс может быть примонтирован к любому удаленному хосту. Злоумышленник может использовать это для чтения (и, возможно, записи) файлов хоста.',
'solution':'Настроить NFS на хосте таким образом, чтобы только авторизованные хосты могли монтировать общие ресурсы.',
'see_also':'http://www.tldp.org/HOWTO/NFS-HOWTO/security.html'
},
'33850':{
'pluginName':'Неподдерживаемая версия ОС Unix',
'description':'На хостах установлена неподдерживаемая версия ОС Unix. Отсутствие поддержки подразумевает, что поставщик не выпустит новые исправления для продукта. В результате он будет содержать уязвимости безопасности.',
'solution':'Обновить ОС Unix до поддерживаемой версии.',
},
'26920':{
'pluginName':'Подключение к Microsoft Windows SMB без аутентификации',
'description':'К удаленному хосту можно подключиться по SMB с помощью сеанса без логина и пароля (NULL session). Это позволяет злоумышленнику получить информацию об удаленном хосте.',
'solution':'Примените следующие изменения реестра в соответствии с рекомендациями Technet. Задать: HKLM\\SYSTEM\\CurrentControlSet\\Control\\LSA\\RestrictAnonymous=1; HKLM\\SYSTEM\\CurrentControlSet\\Services\\lanmanserver\\parameters\\restrictnullsessaccess=1. Удалить BROWSER из: HKLM\\SYSTEM\\CurrentControlSet\\Services\\lanmanserver\\parameters\\NullSessionPipes. Перезагрузите хост после завершения изменений реестра.',
'see_also':'https://support.microsoft.com/en-us/help/143474/restricting-information-available-to-anonymous-logon-users\nhttps://support.microsoft.com/en-us/help/246261\nhttp://technet.microsoft.com/en-us/library/cc785969(WS.10).aspx'
},
'12218':{
'pluginName':'Раскрытие информации через сервис mDNS',
'description':'Удаленный сервис поддерживает протокол Bonjour (также известный как mDNS или ZeroConf), который позволяет удаленному неаутентифицированному пользователю получать информацию с хоста, такую как тип его операционной системы и версию, имя хоста и список служб, которые на нем запущены.',
'solution':'Настроить фильтрацию входящего трафика на порт 5353/udp.',
},
'10297':{
'pluginName':'Веб-приложения уязвимы для атак Directory Traversal',
'description':'На веб-сервере есть уязвимость типа «Directory Traversal», позволяющая читать произвольные файлы на данном хосте вне каталога документов веб-сервера, используя специально созданный URL. Злоумышленник, не прошедший проверку подлинности, может воспользоваться этой проблемой для доступа к конфиденциальной информации.',
'solution':'Обратитесь к поставщику за обновлением, используйте другой продукт или полностью отключите службу. Если используется своё веб-приложение, то необходимо провести анализ кода на наличие уязвимостей данного типа и отредактировать код в соответствии с рекомендациями от OWASP.',
'see_also':'https://cheatsheetseries.owasp.org/cheatsheets/Input_Validation_Cheat_Sheet.html'
},
'11580':{
'pluginName':'Обход правил Firewall с помощью UDP пакетов через 53/UDP порт',
'description':'Можно обойти правила брандмауэра, отправив пакеты UDP с портом источника, равным 53. Злоумышленник может использовать этот недостаток для отправки пакетов UDP на удаленные хосты, несмотря на наличие брандмауэра.',
'solution':'Обратитесь к поставщику за обновлением или просмотрите параметры правил брандмауэра.',
'see_also':'https://seclists.org/fulldisclosure/2003/Apr/355\nhttps://www.broadcom.com/support/security-center'
},
'77026':{
'pluginName':'Раскрытие внутреннего IP адреса Microsoft Exchange',
'description':'Сервер Microsoft Exchange (CAS) подвержен уязвимости раскрытия информации. Удаленный злоумышленник, не прошедший проверку подлинности, может воспользоваться этой уязвимостью, чтобы узнать внутренний IP-адрес сервера. Злоумышленник может отправить созданный запрос GET на веб-сервер с пустым заголовком хоста, который предоставит внутренние IP-адреса базовой системы в ответе заголовка.',
'solution':'Примените последние исправления от поставщика.',
'see_also':'http://foofus.net/?p=758\nhttps://docs.microsoft.com/ru-ru/archive/blogs/asiatech/why-private-ip-address-is-still-revealed-on-iis-server-even-after-applying-fix-834141'
},
'35372':{
'pluginName':'Динамическое обновление DNS записей',
'description':'На сервере возможно добавление записи в зону, используя протокол динамического обновления DNS, как описано в RFC 2136. Этот протокол может использоваться клиентами DHCP для ввода имен их хостов в DNS, но он может быть использован злоумышленниками для перенаправления сетевого трафика. Игнорируйте это предупреждение, если адрес сканера находился в диапазоне IP-адресов, которым разрешено выполнять обновления.',
'solution':'Ограничить адреса, которым разрешено делать динамические обновления (например, с помощью опции BIND «allow-update») или реализовывать TSIG или SIG (0).',
},
'79638':{
'pluginName':'MS14-066: RCE в Schannel Could',
'description':'Удаленный хост Windows подвержен уязвимости удаленного выполнения кода из-за неправильной обработки пакетов безопасности Secure Channel (Schannel).',
'solution':'Microsoft выпустил исправления для Windows 2003, Vista, 2008, 7, 2008 R2, 8, 2012, 8.1, и 2012 R2.',
'see_also':'https://docs.microsoft.com/en-us/security-updates/SecurityBulletins/2014/ms14-066'
},
'101025':{
'pluginName':'Неограниченный доступ к Elasticsearch',
'description':'Elasticsearch, запущенный на удаленном веб-сервере, подвержен уязвимости раскрытия информации из-за невозможности ограничить ресурсы посредством аутентификации. Удаленный злоумышленник, не прошедший проверку подлинности, может использовать это для получения конфиденциальной информации из базы данных.',
'solution':'Включить аутентификацию локального пользователя или интегрируйте ее с внешней системой управления пользователями, такой как LDAP и Active Directory.',
'see_also':'https://threatpost.com/insecure-backend-databases-blamed-for-leaking-43tb-of-app-data/126021\nhttps://www.elastic.co/guide/en/x-pack/current/setting-up-authentication.html'
},
'88490':{
'pluginName':'Раскрытие информации через ошибку в веб-приложении',
'severity':'1',
'description':'Веб-приложение, размещенное на удаленном веб-сервере, раскрывает информацию о веб-приложении, когда веб-сервер возвращает сообщение об ошибке. Ошибка приложения или предупреждающие сообщения могут раскрыть злоумышленнику конфиденциальную информацию о внутренней работе приложения. Сообщение может также содержать расположение файла, вызвавшего необработанное исключение.',
'solution':'Правильно настройте приложение для записи ошибок в файл вместо отображения ошибки пользователю. В некоторых случаях достаточно отключить режим отладки на веб-сервере.',
},
'130276':{
'pluginName':'Множественные уязвимости в PHP',
'description':'Используемая версия PHP содержит уязвимости, позволяющие удаленно выполнять код, проводить атаки типа DoS.',
'solution':'Обновить PHP до последней стабильной версии.',
},
'103530':{
'pluginName':'Множественные уязвимости в HP System Management Homepage < 7.6.1',
'description':'Установленнная версия HP System Management Homepage (SMH) – до 7.6.1. Это означает, что сервис подвержен множественным уязвимостям, позволяющим локально и удаленно выполнять произвольный код в уязвимой системе.',
'solution':'Обновить HP System Management Homepage (SMH) до последней стабильной версии.',
'see_also':'https://support.hpe.com/hpesc/public/docDisplay?docId=hpesbmu03753en_us'
},
'73756':{
'pluginName':'Неподдерживаемая версия Microsoft SQL Server',
'description':'На хостах установлена неподдерживаемая версия Microsoft SQL Server. Отсутствие поддержки подразумевает, что поставщик не выпустит новые исправления для продукта. В результате он будет содержать уязвимости безопасности.',
'solution':'Обновить Microsoft SQL Server до поддерживаемой версии.',
},
'50686':{
'pluginName':'Разрешена переадресация IP',
'description':'На хосте включена переадресация IP. Злоумышленник может использовать это для маршрутизации пакетов через хост и потенциально обойти некоторые брандмауэры / маршрутизаторы / фильтрацию NAC. Если удаленный хост не является маршрутизатором, рекомендуется отключить переадресацию IP.',
'solution':'В Linux можно отключить переадресацию IP, выполнив следующие действия: «echo 0 > /proc/sys/net/ipv4/ip_forward». В Windows установите для ключа IPEnableRouter значение 0 в ветке реестра «HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Services\\Tcpip\\Parameters». В Mac OS X можно отключить переадресацию IP, выполнив команду: «sysctl -w net.inet.ip.forwarding=0».',
'see_also':'https://nvd.nist.gov/vuln/detail/CVE-1999-0511'
},
'esxi_vulns':{
'pluginName':'Множественные уязвимости в ESXi',
'severity':'3',
'description':'На хосте установлен VMware ESXi версии 6.0, 6.5 или 6.7, который подвержен множественным уязвимостям, позволяющим проводить атаки типа DoS, выполнять произвольный код и получать чувствительную информацию.',
'solution':'Установить исправления / обновить VMware ESXi до последней стабильной версии.',
'see_also':'https://www.vmware.com/security/advisories/VMSA-2019-0005.html\nhttps://www.vmware.com/security/advisories/VMSA-2019-0012.html\nhttps://www.vmware.com/security/advisories/VMSA-2019-0014.html'
},
'71783':{
'pluginName':'DoS в Network Time Protocol через команду monlist',
'description':'В ntpd, запущенной на удаленном хосте, включена команда «monlist». Эта команда возвращает список последних хостов, которые подключились к сервису. Злоумышленник может использовать эту проблему для проведения распределенных атак типа «отказ в обслуживании» (DDoS).',
'solution':'Если вы используете NTP из проекта Network Time Protocol, обновите NTP до стабильной версии. Либо добавьте «disable monitor» в файл конфигурации ntp.conf и перезапустите службу. В противном случае ограничьте доступ к уязвимой службе доверенным узлам или обратитесь к поставщику за исправлением.',
'see_also':'https://isc.sans.edu/diary/NTP+reflection+attack/17300\nhttp://bugs.ntp.org/show_bug.cgi?id=1532\nhttps://kb.juniper.net/InfoCenter/index?page=content&id=JSA10613'
},
'127907':{
'pluginName':'Уязвимая версия nginx 1.9.5 < 1.16.1 / 1.17.x < 1.17.3',
'description':'Используемая версия nginx подвержена уязвимостям, позволяющим проводить атаки типа DoS (CVE-2019-9511, CVE-2019-9513, CVE-2019-9516).',
'solution':'Обновить nginx до последней стабильной версии.',
},
'10061':{
'pluginName':'Служба «echo»',
'description':'На удаленном хосте запущена служба «echo». Эта служба повторяет любые данные, которые ей отправляются. В настоящее время эта служба не используется, поэтому настоятельно рекомендуется отключить ее, поскольку злоумышленники могут использовать ее для организации атак типа «отказ в обслуживании» против этого хоста.',
'solution':'Ниже приведены некоторые примеры того, как отключить службу echo на некоторых распространенных платформах. Обратитесь к документации поставщика для службы для получения дополнительной информации. В системах Unix закомментируйте строку «echo» в /etc/inetd.conf и перезапустите процесс inetd. В системах Ubuntu закомментируйте строку «echo» в /etc/systemd/system.conf и перезапустите службу systemd. В системах Windows установите для следующего раздела реестра значение 0: «HKLM\\System\\CurrentControlSet\\Services\\SimpTCP\\Parameters\\EnableTcpEcho», «HKLM\\System\\CurrentControlSet\\Services\\SimpTCP\\Parameters\\EnableUdpEcho». Затем запустите cmd.exe и введите: net stop simptcp; net start simptcp; для перезапуска службы.',
},
'97996':{
'pluginName':'Неподдерживаемая версия ОС Microsoft Windows Vista',
'description':'На хосте используется неподдерживаемая версия ОС Windows Vista. Отсутствие поддержки подразумевает, что поставщик не выпустит новые исправления для продукта. В результате он будет содержать уязвимости безопасности. Кроме того, Microsoft не будет расследовать или принимать отчеты об уязвимостях.',
'solution':'Обновить ОС Windows до поддерживаемой версии.',
'see_also':'https://support.microsoft.com/en-us/windows/windows-vista-support-has-ended-3a58df35-ef06-8d37-f854-0f6db2d36534'
},
'48264':{
'pluginName':'Служба «VxWorks WDB Debug»',
'description':'На хосте запущена служба «VxWorks WDB Debug». Используя этот сервис, можно читать или записывать любую зону памяти или выполнять произвольный код на хосте. Злоумышленник может использовать эту уязвимость, чтобы получить полный контроль над уязвимым устройством.',
'solution':'Отключите агент отладки или обратитесь к поставщику устройства за исправлением.',
'see_also':'https://nvd.nist.gov/vuln/detail/CVE-2010-2965'
},
'121479':{
'pluginName':'Раскрытие информации через файл web.config',
'description':'На веб-сервере доступен на чтение файл web.config, который может содержать потенциально чувствительную информацию о конфигурации веб-сервера.',
'solution':'Ограничить доступ к файлу web.config либо удалить этот файл, если он не используется.',
},
'88561':{
'pluginName':'Неподдерживаемая версия ОС Microsoft Windows 8',
'description':'На хосте используется неподдерживаемая версия ОС Windows 8. Отсутствие поддержки подразумевает, что поставщик не выпустит новые исправления для продукта. В результате он будет содержать уязвимости безопасности. Кроме того, Microsoft не будет расследовать или принимать отчеты об уязвимостях.',
'solution':'Обновить ОС Windows до поддерживаемой версии.',
'see_also':'https://docs.microsoft.com/en-US/lifecycle/faq/windows'
},
'93650':{
'pluginName':'Уязвимая версия Dropbear SSH Server',
'description':'На хосте установлен Dropbear SSH до версии 2016.72. Версии ниже 2016.72 подвержены уязвимостям, позволяющим удаленно выполнять код с привилегиями пользователя root, а также раскрывать чувствительную информацию.',
'solution':'Обновить Dropbear SSH Server до последней стабильной версии.',
'see_also':'https://matt.ucc.asn.au/dropbear/CHANGES'
},
'42880':{
'pluginName':'Небезопасная конфигурация TLS / SSL в службе',
'severity':'1',
'description':'Удаленная служба допускает небезопасное повторное согласование соединений TLS / SSL. Служба шифрует трафик с помощью TLS / SSL, но позволяет клиенту небезопасно повторно согласовывать соединение после первоначального рукопожатия. Неаутентифицированный удаленный злоумышленник может использовать эту проблему, чтобы ввести произвольный объем открытого текста в начало потока протокола приложения, что может облегчить атаки типа «человек посередине», если служба предполагает, что сеансы до и после повторного согласования взяты от одного и того же «клиента», и объединяет их на уровне приложения.',
'solution':'Свяжитесь с поставщиком продукта для получения информации об исправлении.',
'see_also':'https://mailarchive.ietf.org/arch/msg/tls/N7EcRpvK2ENs5IwWYv2p7nrUG8w\nhttps://www.g-sec.lu/practicaltls.pdf'
},
'134862':{
'pluginName':'Инъекция через запрос к AJP Connector Apache Tomcat (Ghostcat)',
'description':'В AJP Connector обнаружена уязвимость чтения файлов. Удаленный злоумышленник, не прошедший проверку подлинности, может воспользоваться этой уязвимостью для чтения файлов веб-приложений с уязвимого сервера. В случаях, когда уязвимый сервер разрешает загрузку файлов, злоумышленник может загрузить вредоносный код JavaServer Pages (JSP) в файлы различных типов и получить удаленное выполнение кода (RCE).',
'solution':'Включить аутентификацию при подключении по AJP и/или обновить Apache Tomcat до стабильной версии.',
'see_also':'https://access.redhat.com/security/cve/CVE-2020-1745\nhttps://access.redhat.com/solutions/4851251'
},
'10815':{
'pluginName':'XSS в веб-приложении',
'description':'На удаленном хосте работает веб-сервер, который не очищает должным образом строки запроса от вредоносного кода JavaScript. Это позволяет проводить XSS-атаки. Удаленный злоумышленник может использовать эту проблему для выполнения произвольного HTML или Javascript кода в браузере пользователя в контексте уязвимого сайта.',
'solution':'Выполнить проверку исходного кода веб-приложения и внедрить проверку передаваемых пользователем данных на сервер.',
'see_also':'https://cheatsheetseries.owasp.org/cheatsheets/Cross_Site_Scripting_Prevention_Cheat_Sheet.html'
},
'10198':{
'pluginName':'Служба «Quote of the Day» (QOTD)',
'description':'Сервер прослушивает дейтаграммы UDP на порте 17 UDP. При получении дейтаграммы отправляется отвечающая дейтаграмма, содержащая цитату (данные в полученной дейтаграмме игнорируются). Простая атака - это «ping-pong», при котором IP-адрес подменяется в пакете между двумя машинами, на которых работает QOTD. Это заставит их отправлять пакеты друг другу, замедляя работу машин и нагружая сеть.',
'solution':'В системах Unix закомментируйте строку «qotd» в /etc/inetd.conf и перезапустите процесс inetd. В системах Windows установите для следующих разделов реестра значение 0: «HKLM\\System\\CurrentControlSet\\Services\\SimpTCP\\Parameters\\EnableTcpQotd», «HKLM\\System\\CurrentControlSet\\Services\\SimpTCP\\Parameters\\EnableUdpQotd». Затем запустите cmd.exe и введите, чтобы перезапустить службу: net stop simptcp; net start simptcp.',
},
'87733':{
'pluginName':'Небезопасная конфигурация AMQP',
'description':'Служба удаленного протокола расширенной очереди сообщений (AMQP) поддерживает один или несколько механизмов аутентификации, которые позволяют отправлять учетные данные в открытом виде.',
'solution':'Отключите механизмы аутентификации открытым текстом в конфигурации AMQP.',
},
'102803':{
'pluginName':'Уязвимости в HP iLO 4 версии <= 2.52',
'description':'На хосте установлен HP Integrated Lights-Out 4 (iLO 4) до версии 2.52. Версии 2.52 и ниже подвержены уязвимостям, позволяющим удаленно выполнять код в уязвимой системе, а также обходить аутентификацию.',
'solution':'Обновить HP iLO 4 до последней стабильной версии.',
},
'122095':{
'pluginName':'RCE в HP iLO 4 версии < 2.53',
'description':'На хосте установлен HP Integrated Lights-Out 4 (iLO 4) до версии 2.53. Версии ниже 2.53 подвержены уязвимости, позволяющей удаленно выполнять код в уязвимой системе.',
'solution':'Обновить HP iLO 4 до последней стабильной версии.',
},
'56997':{
'pluginName':'Неподдерживаемая версия VMware ESX / ESXi',
'description':'На хосте используется неподдерживаемая версия VMware ESX / ESXi. Отсутствие поддержки подразумевает, что поставщик не выпустит новые исправления для продукта. В результате он будет содержать уязвимости безопасности.',
'solution':'Обновить VMware ESX / ESXi до поддерживаемой версии.',
},
'58435':{
'pluginName':'MS12-020: RCE в протоколе RDP',
'description':'В реализации протокола удаленного рабочего стола (RDP) на хосте Windows существует уязвимость удаленного выполнения кода. Уязвимость вызвана тем, как RDP обращается к объекту в памяти, который был неправильно инициализирован или удален. Злоумышленник может использовать эту уязвимость, чтобы заставить систему выполнить произвольный код, отправив ему пакет специально созданных RDP-пакетов.',
'solution':'Установить обновления ОС Windows. Microsoft выпустила набор исправлений для Windows XP, 2003, Vista, 2008, 7 и 2008 R2. Обратите внимание, что для получения исправления для этой уязвимости для Windows 2000 требуется расширенный контракт с Microsoft.',
'see_also':'https://docs.microsoft.com/en-us/security-updates/SecurityBulletins/2012/ms12-020'
},
'69552':{
'pluginName':'Небезопасная конфигурация Oracle TNS',
'description':'Oracle TNS позволяет регистрировать сервисы с удаленного хоста. Злоумышленник может использовать эту проблему для перенаправления данных с сервера базы данных или клиента в указанную злоумышленником систему. Это позволяет злоумышленнику манипулировать экземплярами базы данных, а также проводить атаки типа «отказ в обслуживании».',
'solution':'Примените рекомендации от Oracle.',
'see_also':'https://web.archive.org/web/20170224151815/https://blogs.oracle.com/security/entry/security_alert_for_cve_2012\nhttps://www.oracle.com/technetwork/topics/security/alert-cve-2012-1675-1608180.html\nhttps://seclists.org/fulldisclosure/2012/Apr/204'
},
'idididid1':{
'pluginName':'',
'description':'',
'solution':'',
'see_also':''
},
}