Oracle Linux 7:核心 (ELSA-2019-3055)
critical Nessus Plugin ID 130039
語系:
概要
遠端 Oracle Linux 主機缺少一個或多個安全性更新。說明
遠端 Oracle Linux 7 主機中安裝的套件受到 ELSA-2019-3055 公告中提及的多個弱點影響。- 據發現,連線至惡意的無線網路時,mwifiex 核心模組中存在一個缺陷,攻擊者可藉此損毀記憶體,並可能提升權限。(CVE-2019-3846)
- 在 4.18.7 版之前的 Linux 核心中發現一個問題。block/blk-core.c 中存在
__blk_drain_queue() 釋放後使用,這是不當處理特定錯誤案例所致。(CVE-2018-20856)
- 5.1 版及其之前的所有 Bluetooth BR/EDR 規格允許極低的加密金鑰長度,且無法防範攻擊者影響金鑰長度交涉。這種情況允許有心人士發動暴力密碼破解攻擊 (即 KNOB),進而在受害者不知情的情況下,將流量解密並插入任意加密文字。(CVE-2019-9506)
- 在 Linux 核心中發現一個缺陷。drivers/net/wireless/marvell/mwifiex/ie.c 的 mwifiex_uap_parse_tail_ies 函式中有一個堆積型緩衝區溢位問題,可能會導致記憶體損,並可能造成其他後果。(CVE-2019-10126)
請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼。
解決方案
更新受影響的套件。另請參閱
Plugin 詳細資訊
嚴重性: Critical
ID: 130039
檔案名稱: oraclelinux_ELSA-2019-3055.nasl
版本: 1.6
類型: local
代理程式: unix
已發布: 2019/10/18
已更新: 2024/4/17
支援的感應器: Frictionless Assessment Agent, Nessus Agent, Nessus
風險資訊
VPR
風險因素: Medium
分數: 6.7
CVSS v2
風險因素: High
基本分數: 8.3
時間分數: 6.5
媒介: CVSS2#AV:A/AC:L/Au:N/C:C/I:C/A:C
CVSS 評分資料來源: CVE-2019-3846
CVSS v3
風險因素: Critical
基本分數: 9.8
時間分數: 8.8
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
時間媒介: CVSS:3.0/E:P/RL:O/RC:C
CVSS 評分資料來源: CVE-2019-10126
弱點資訊
CPE: cpe:/o:oracle:linux:7, p-cpe:/a:oracle:linux:bpftool, p-cpe:/a:oracle:linux:kernel, p-cpe:/a:oracle:linux:kernel-abi-whitelists, p-cpe:/a:oracle:linux:kernel-debug, p-cpe:/a:oracle:linux:kernel-debug-devel, p-cpe:/a:oracle:linux:kernel-devel, p-cpe:/a:oracle:linux:kernel-headers, p-cpe:/a:oracle:linux:kernel-tools, p-cpe:/a:oracle:linux:kernel-tools-libs, p-cpe:/a:oracle:linux:kernel-tools-libs-devel, p-cpe:/a:oracle:linux:perf, p-cpe:/a:oracle:linux:python-perf
必要的 KB 項目: Host/OracleLinux, Host/RedHat/release, Host/RedHat/rpm-list, Host/local_checks_enabled
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2019/10/16
弱點發布日期: 2018/10/3
參考資訊
CVE: CVE-2018-20856, CVE-2019-10126, CVE-2019-3846, CVE-2019-9506
RHSA: 2019:3055