EulerOS 2.0 SP2:cracklib (EulerOS-SA-2019-2439)
high Nessus Plugin ID 131593
語系:
概要
遠端 EulerOS 主機缺少安全性更新。說明
根據安裝的 cracklib 套件版本,遠端主機上的 EulerOS 安裝會受到下列弱點影響:- CrackLib 會測試密碼以判斷它們是否符合特定的安全導向特性,用以阻止使用者選擇容易猜到的密碼。CrackLib 會對密碼執行數種測試:它會嘗試從使用者名稱和 gecos 項目產生字組,並對照密碼檢查這些字組,然後檢查密碼中的簡單模式,再檢查字典中的密碼。CrackLib 實際上是一個包含特定 C 函式的程式庫,用於檢查密碼以及其他 C 函式。CrackLib 不能取代 passwd 程式,它必須與現有的 passwd 程式一起使用。如果您需要一個程式來檢查使用者的密碼,以查看它們是否至少具有最低的安全性,請安裝 cracklib 套件。如果您安裝 CrackLib,您也會想要安裝 cracklib-dicts 套件。安全性修正:在 cracklib 的 lib/fascist.c 中,FascistGecosUser 函式中的堆疊型緩衝區溢位允許本機使用者透過長 GECOS 欄位,造成拒絕服務 (應用程式損毀),或取得權限,這與 longbuffer 相關。(CVE-2016-6318) 請注意,Tenable Network Security 已直接從 EulerOS 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下,嘗試自動清理並將其格式化。解決方案
更新受影響的 cracklib 套件。另請參閱
Plugin 詳細資訊
嚴重性: High
ID: 131593
檔案名稱: EulerOS_SA-2019-2439.nasl
版本: 1.6
類型: local
已發布: 2019/12/4
已更新: 2024/4/8
支援的感應器: Nessus
風險資訊
VPR
風險因素: Medium
分數: 5.9
CVSS v2
風險因素: High
基本分數: 7.2
時間分數: 5.3
媒介: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C
CVSS 評分資料來源: CVE-2016-6318
CVSS v3
風險因素: High
基本分數: 7.8
時間分數: 6.8
媒介: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: p-cpe:/a:huawei:euleros:cracklib, p-cpe:/a:huawei:euleros:cracklib-dicts, cpe:/o:huawei:euleros:2.0
必要的 KB 項目: Host/local_checks_enabled, Host/EulerOS/release, Host/EulerOS/rpm-list, Host/EulerOS/sp
排除在外的 KB 項目: Host/EulerOS/uvp_version
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2019/12/4
參考資訊
CVE: CVE-2016-6318