MiracleLinux 3︰bash-3.2-32.AXS3 (AXSA:2011-274:01)
medium Nessus Plugin ID 284407
語言:
概要
遠端 MiracleLinux 主機缺少安全性更新。說明
遠端 MiracleLinux 3 主機已安裝一個受到 AXSA:2011-274:01 公告中所提及的弱點影響的套件。GNU Bourne Again shell (Bash) 是與 Bourne shell (sh) 相容的 shell 或命令語言解譯器。Bash 合併了來自 Korn shell (ksh) 和 C shell (csh) 的實用功能。bash 可直接執行大多數 sh 指令碼而無需進行修改。此套件 (bash) 包含 bash 版 3.2版相較於先前的版本可改善 POSIX 合規性。
此版本修正的安全性問題
CVE-2008-5374 bash-doc 3.2 允許本機使用者透過 /tmp/cb#####.? 上的符號連結攻擊覆寫任意檔案暫存檔,與 (1) aliasconv.sh、(2) aliasconv.bash 和 (3) cshtobash 指令碼相關。
修正的錯誤:
- Bash 在使用 處的來源時有時會中止指派唯讀變數的指令碼。 。這個問題已修正。
- 如果提示包含無法檢視的字元 和 和 使用自動完成功能 (使用 Tab 鍵)時提示會跳至非預期的位置。這個問題已修正。
- 當 bash 嘗試解譯 ELF 標頭的 NOBITS 動態區段時會產生 ^D錯誤 ELF 解譯器沒有此類檔案或目錄訊息。這個問題已修正。
- $RANDOM 變數現在會針對每次使用產生一個新亂數。
- 執行內嵌 NULL 字元的 Shell 指令碼時Bash 來源內建程式不正確地剖析指令碼。這個問題已修正。
- 更新陷阱的手冊頁其中提及無法稍後列出在輸入時忽略的訊號。
- 調整終端機視窗大小時現在可正確顯示超過一行的文字。
- 當輸出因 EPIPE 而失敗時bash 會顯示內建程式 (如 echo 和 printf) 的管道中斷。這是不正確且已修正的問題。
- 在 vi-模式下無法進行具有重複函式的插入。這個問題已修正。
- 修正自動完成行為bash 不再將 / 附加至檔案而僅附加至目錄。
- 已修正 read 內建的記憶體洩漏。
- 從 bash 套件的 /usr/share/doc/bash-3.2/loadables 中移除無法使用和無法構建的來源檔案。
增強功能:
- 現已啟用全系統的 /etc/bash.bash_logout bash 登出檔案。
Tenable 已直接從 MiracleLinux 安全性公告擷取前置描述區塊。
請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
更新受影響的 bash 套件。另請參閱
Plugin 詳細資訊
嚴重性: Medium
ID: 284407
檔案名稱: miracle_linux_AXSA-2011-274.nasl
版本: 1.1
類型: local
已發布: 2026/1/14
已更新: 2026/1/14
支援的感應器: Nessus Agent, Nessus
風險資訊
VPR
風險因素: Low
分數: 3.6
Vendor
Vendor Severity: High
CVSS v2
風險因素: Medium
基本分數: 6.9
時間性分數: 5.1
媒介: CVSS2#AV:L/AC:M/Au:N/C:C/I:C/A:C
CVSS 評分資料來源: CVE-2008-5374
CVSS v3
風險因素: Medium
基本分數: 5.5
時間性分數: 4.8
媒介: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: cpe:/o:miracle:linux:3, p-cpe:/a:miracle:linux:bash
必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2011/7/29
弱點發布日期: 2008/8/11
參考資訊
CVE: CVE-2008-5374