偵測

MiracleLinux 3vixie-cron-4.1-81.AXS3 (AXSA:2012-254:01)

high Nessus Plugin ID 283925

語言:

概要

遠端 MiracleLinux 主機缺少安全性更新。

說明

遠端 MiracleLinux 3 主機已安裝一個受到 AXSA:2012-254:01 公告中所提及的弱點影響的套件。

 vixie-cron 套件包含有 Vixie 版本的 cron。Cron 是一個標準的 UNIX 程序,其會按排程時間執行指定的程式。Vixie cron 為標準 cron 版本新增了更好的安全性和更強大的組態選項。
 此版本修正的安全性問題
 CVE-2010-0424 在 (1) 之前的 cronie 1.4.4 和 (2) Vixie cron (vixie-cron) 中crontab.c 的 edit_cmd 函式允許本機使用者透過對 /tmp 目錄中暫存檔的符號連結攻擊。
 修正的錯誤:
 一個暫時性的 NSS 查閱失敗通常會阻止在 LDAP 伺服器或 NFS 上掛載主目錄的使用者執行 cron 工作因為之後這類工作會被標記為孤立。此更新引入了孤立資料庫的建立且 cron 工作可如預期執行。
 在之前的版本中,當位於 /etc/cron.d/ 目錄中的 cron 工作檔包含無效項目時,cron 未記錄任何錯誤。此問題已經修正cron 工作檔案中的無效項目現在會產生警告訊息。
 在之前的版本中@reboot crontab 巨集在 crond 程序重新啟動時無法正確執行工作。在數部機器上使用時每次重新啟動 crond 程序時都會執行具有 @reboot 選項的所有項目。此問題已經修正只有在電腦重新開機時才會執行工作。
 crontab 現已編譯為位置獨立的可執行檔 (PIE)這就增強了系統的安全性。
 如果父 crond 程序已停止但子程序仍在執行中則服務 crond 狀態命令會不正確地報告 crond 正在執行中。此問題已修正且服務 crond 狀態命令現在可正確報告 crond 已停止的情況。
 這個更新包含了可正確匯出環境變數的修正版 /etc/pam.d/crond 檔案。
 現在 pam 變數就能依照 pam(8) 手冊頁面記載方式,正常透過 cron 完成設定。
 之前如果 crond 程序嘗試使用 mcstrand 修改的標籤而 mcstransd 並未執行則 crond 會使用不正確的標籤。結果導致 cron 記錄中裝滿了Security-Enhanced Linux (SELinux) 拒絕,卻沒有任何工作執行,於是 crond 必須重新啟動。此問題已透過使 mcstransd 和 crond 使用原始 SELinux 標籤修正。
 修正 crontab(1) 和 cron(8) 手冊頁面中的許多錯字。
 增強功能:
 crontab 公用程式現在使用插入式驗證模組進行使用者驗證:它可防止使用者存取 crontab。先前即使使用者的存取受到限制,仍可能發生此情形。Crontab 現在會傳回錯誤訊息通知其 PAM 組態阻止其執行此操作。

Tenable 已直接從 MiracleLinux 安全性公告擷取前置描述區塊。

請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新受影響的 vixie-cron 套件。

另請參閱

https://tsn.miraclelinux.com/en/node/2746

Plugin 詳細資訊

嚴重性: High

ID: 283925

檔案名稱: miracle_linux_AXSA-2012-254.nasl

版本: 1.1

類型: local

已發布: 2026/1/14

已更新: 2026/1/14

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.2

Vendor

Vendor Severity: High

CVSS v2

風險因素: Low

基本分數: 3.3

時間性分數: 2.4

媒介: CVSS2#AV:L/AC:M/Au:N/C:N/I:P/A:P

CVSS 評分資料來源: CVE-2010-0424

CVSS v3

風險因素: High

基本分數: 7.1

時間性分數: 6.2

媒介: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:miracle:linux:vixie-cron, cpe:/o:miracle:linux:3

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2012/3/7

弱點發布日期: 2010/2/24

參考資訊

CVE: CVE-2010-0424