偵測

MiracleLinux 7pcre-8.32-15.el7.1 (AXSA:2016-391:01)

critical Nessus Plugin ID 288969

語言:

概要

遠端 MiracleLinux 主機缺少一個或多個安全性更新。

說明

遠端 MiracleLinux 7 主機已安裝受到多個弱點影響的套件如 AXSA:2016-391:01 公告中所提及。

 Perl 相容規則運算式程式庫。
 PCRE 有自己的原生 API但程式庫 libpcreposix 中也提供一組以 POSIX API 為基礎的包裝函式。請注意此處僅提供對 PCRE 的 POSIX 呼叫介面規則運算式本身仍遵循 Perl 語法和語意。POSIX 式函式的標頭檔案稱為 pcreposix.h。
 此版本修正的安全性問題
 CVE-2015-23288.36 之前的 PCRE 未正確處理 /((?(R)a|(?1))) / 模式及具有特定遞回的相關模式其允許遠端攻擊者造成拒絕服務 (分割錯誤)或可能透過特製的規則運算式造成的其他影響Konqueror 所遇到的 JavaScript RegExp 物件即為一例。
 CVE-2015-3217
 ** 保留 ** 此候選編號已由宣佈新安全性問題時將使用該編號的組織或個人所保留。當候選編號公佈時,將會提供此候選編號的詳細資料。
 CVE-2015-5073
 ** 保留 ** 此候選編號已由宣佈新安全性問題時將使用該編號的組織或個人所保留。當候選編號公佈時,將會提供此候選編號的詳細資料。
 CVE-2015-83858.38 之前的 PCRE 未正確處理 /(?|(\k'Pm')|(?'Pm'))/ 模式及具有特定轉送參照的相關模式進而允許遠端攻擊者造成拒絕服務 (緩衝區溢位) 或可能透過特製的規則運算式造成其他不明影響Konqueror 所遇到的 JavaScript RegExp 物件即為一例。
 CVE-2015-83868.38 之前的 PCRE 未正確處理回溯宣告與相互遞回子模式的互動進而允許遠端攻擊者透過特製的規則運算式造成拒絕服務 (緩衝區溢位) 或可能造成其他不明影響JavaScript RegExp 物件即為一例Konqueror 遇到的問題。
 CVE-2015-83888.38 之前的 PCRE 未正確處理 /(?=di(?<=(?1))|(?=(.))))/ 模式及右括號不相符的相關模式這可允許遠端攻擊者拒絕服務 (緩衝區溢位) 或可能透過特製的規則運算式造成其他不明影響Konqueror 所遇到的 JavaScript RegExp 物件即為一例。
 CVE-2015-8391 在 8.38 之前的 PCRE 中pcre_compile.c 的 pcre_compile 函式未正確處理特定 [巢狀]其允許遠端攻擊者透過特製的規則運算式造成拒絕服務 (CPU 消耗) 或可能造成其他不明影響Konqueror 遇到的 JavaScript RegExp 物件。
 CVE-2016-3191 在 [ 8.x 之前的 PCRE 8.39 中pcre_compile.c 和 10.22 之前的 PCRE2 中pcre2_compile.c 的 compile_branch 函式不當處理含有 (*ACCEPT) 子字串及巢狀括號的模式這可允許遠端攻擊者執行任意程式碼或造成透過特製規則運算式引發的拒絕服務 (堆疊型緩衝區溢位)Konqueror 所遇到的 JavaScript RegExp 物件即為一例即 ZDI-CAN-3542。

Tenable 已直接從 MiracleLinux 安全性公告擷取前置描述區塊。

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新受影響的 pcre 和/或 pcre-devel 套件。

另請參閱

https://tsn.miraclelinux.com/en/node/6778

Plugin 詳細資訊

嚴重性: Critical

ID: 288969

檔案名稱: miracle_linux_AXSA-2016-391.nasl

版本: 1.1

類型: local

已發布: 2026/1/16

已更新: 2026/1/16

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: High

分數: 7.3

Vendor

Vendor Severity: High

CVSS v2

風險因素: High

基本分數: 9

時間性分數: 7

媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:C

CVSS 評分資料來源: CVE-2015-8391

CVSS v3

風險因素: Critical

基本分數: 9.8

時間性分數: 8.8

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:P/RL:O/RC:C

CVSS 評分資料來源: CVE-2016-3191

弱點資訊

CPE: cpe:/o:miracle:linux:7, p-cpe:/a:miracle:linux:pcre-devel, p-cpe:/a:miracle:linux:pcre

必要的 KB 項目: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2016/5/11

弱點發布日期: 2015/1/12

參考資訊

CVE: CVE-2015-2328, CVE-2015-3217, CVE-2015-5073, CVE-2015-8385, CVE-2015-8386, CVE-2015-8388, CVE-2015-8391, CVE-2016-3191