偵測

MiracleLinux 3glibc-2.5-65.3.0.1.AXS3 (AXSA:2012-210:01)

high Nessus Plugin ID 284043

語言:

概要

遠端 MiracleLinux 主機缺少一個或多個安全性更新。

說明

遠端 MiracleLinux 3 主機已安裝受到 AXSA:2012-210:01 公告中所提及的多個弱點影響的套件。

 glibc 套件包含系統上多個程式使用的標準程式庫。為了節省磁碟空間和記憶體並使升級更容易通用系統程式碼會保留在一個位置並在程式之間共用。此特定套件包含數組最重要的共用程式庫標準 C 程式庫和標準 math 程式庫。如果沒有這兩個程式庫Linux 系統將無法運作。
 此版本修正的安全性問題
 CVE-2009-5029 無可用的描述請參閱下列 CVE 連結。
 CVE-2009-5064
 ** 有爭議 ** GNU C 程式庫 (亦即 glibc 或 libc6) 2.13 和更舊版本中的 ldd 允許本機使用者透過與修改的載入器連結的特洛伊木馬可執行檔取得權限該載入器會省略特定 LD_TRACE_LOADED_OBJECTS 檢查。注意GNU C 程式庫供應商表示這是無意義的。如果人們下載任意二進位檔並將其安裝在適當的目錄中或設定 LD_LIBRARY_PATH 等項目有許多其他引入程式碼的方式。
 CVE-2010-0830 在 GNU C 程式庫 (亦即 glibc 或 libc6) ld.so 中 2.0.1 到 2.11.1中 elf/dynamic-link.h 的 elf_get_dynamic_info 函式中存在一個整數正負號錯誤當使用 --verify 選項時允許使用者協助的遠端攻擊者可透過特製的 ELF 程式 (其 ELF 標頭中的特定 d_tag 結構成員有負值) 來執行任意程式碼。
 CVE-2011-1089 GNU C 程式庫 (即 glibc 或 libc6) 2.13 和更舊版本中的 addmntent 函式未針對嘗試寫入 /etc/mtab 檔案的失敗報告錯誤狀態這讓本機使用者更容易觸發 的損毀從具有小 RLIMIT_FSIZE 值的處理程序寫入即為一例此弱點與 CVE-2010-0296不同。
 CVE-2011-4609 無可用的描述請參閱下列 CVE 連結。

Tenable 已直接從 MiracleLinux 安全性公告擷取前置描述區塊。

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新受影響的套件。

另請參閱

https://tsn.miraclelinux.com/en/node/2701

Plugin 詳細資訊

嚴重性: High

ID: 284043

檔案名稱: miracle_linux_AXSA-2012-210.nasl

版本: 1.1

類型: local

已發布: 2026/1/14

已更新: 2026/1/14

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.7

Vendor

Vendor Severity: High

CVSS v2

風險因素: Medium

基本分數: 6.9

時間性分數: 5.4

媒介: CVSS2#AV:L/AC:M/Au:N/C:C/I:C/A:C

CVSS 評分資料來源: CVE-2009-5064

CVSS v3

風險因素: High

基本分數: 7.5

時間性分數: 6.7

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

時間媒介: CVSS:3.0/E:P/RL:O/RC:C

CVSS 評分資料來源: CVE-2011-4609

弱點資訊

CPE: p-cpe:/a:miracle:linux:glibc-devel, p-cpe:/a:miracle:linux:glibc-utils, p-cpe:/a:miracle:linux:glibc, p-cpe:/a:miracle:linux:nscd, cpe:/o:miracle:linux:3, p-cpe:/a:miracle:linux:glibc-headers, p-cpe:/a:miracle:linux:glibc-common

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2012/2/20

弱點發布日期: 2009/6/1

參考資訊

CVE: CVE-2009-5029, CVE-2009-5064, CVE-2010-0830, CVE-2011-1089, CVE-2011-4609