偵測

MiracleLinux 4krb5-1.10.3-33.AXS4 (AXSA:2014-606:02)

critical Nessus Plugin ID 289469

語言:

概要

遠端 MiracleLinux 主機缺少一個或多個安全性更新。

說明

遠端 MiracleLinux 4 主機已安裝受到多個弱點影響的套件如 AXSA:2014-606:02 公告中所提及。

 描述:
 Kerberos V5 是受信任的第三方網路驗證系統可避免以未加密的形式透過網路傳送密碼的不安全做法進而提升網路的安全性。
 此版本修正的安全性問題
 CVE-2013-1418 在 1.10.7之前的 MIT Kerberos 5 (即 krb5) 中金鑰發布中心 (KDC) 之 main.c 中的 setup_server_realm 函式當設定了多個領域時允許遠端攻擊者造成拒絕服務 (NULL 指標解除參照和程序當機)。
 CVE-2013-6800 適用於 MIT Kerberos 5 (即 krb5) 中金鑰發布中心 (KDC) 的不明第三方資料庫模組 1.10.x 允許經驗證的遠端使用者透過特製要求造成拒絕服務 (NULL 指標解除參照和程序損毀)與 CVE-2013-1418不同的弱點。
 CVE-2014-4341 之前的 MIT Kerberos 5 (即 krb5) 1.12.2 允許遠端攻擊者將無效 token 插入 GSSAPI 應用程式工作階段來造成拒絕服務 (緩衝區過度讀取與應用程式損毀)。
 CVE-2014-4342 MIT Kerberos 5 (即 krb5) 1.7.x 至 1.12.x 之前的 1.12.2 允許遠端攻擊者將無效 token 插入 GSSAPI 應用程式工作階段造成拒絕服務 (緩衝區過度讀取或 NULL 指標解除參照和應用程式損毀)。
 CVE-2014-4343 在 之前的 MIT Kerberos 5 (aka krb5) 1.10.x 至 1.12.x1.12.2 中lib/gssapi/spnego/spnego_mech.c 之 SPNEGO 啟動器內 init_ctx_reselect 函式中的重複釋放弱點可讓遠端攻擊者造成拒絕服務 (記憶體損毀) 或可能透過網路流量執行任意程式碼該網路流量似乎來自預定的接收器但指定的安全性機制與啟動器建議的機制不同。
 CVE-2014-4344 在 MIT Kerberos 5 (即 krb5) 1.5.x 至 1.12.x [] 的 之前的 1.12.2 中lib/gssapi/spnego/spnego_mech.c 中 SPNEGO 接收器的 acc_ctx_cont 函式允許遠端攻擊者造成拒絕服務 (NULL 指標解除參照和應用程式當機) 時透過在 SPNEGO 交涉期間特定時間點的空接續 token
 CVE-2014-4345 在 MIT Kerberos 5 (即 krb5) kadmind 中的 LDAP KDB 模組中plugins/kdb/ldap/libkdb_ldap/ldap_principal2.c 的 krb5_encode_krbsecretkey 函式存在差一錯誤 1.6.x 到 1.11.x 之前的 1.11.6 和 1.12.x1.12.2 之前的版本允許經驗證的遠端使用者透過一系列 cpw 造成拒絕服務 (緩衝區溢位) 或可能執行任意程式碼。
 -keepold 命令。
 修正錯誤
 這些更新版 krb5 套件還提供數個錯誤修正。
 如需詳細資訊請參閱變更記錄。

Tenable 已直接從 MiracleLinux 安全性公告擷取前置描述區塊。

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新受影響的套件。

另請參閱

https://tsn.miraclelinux.com/en/node/5064

Plugin 詳細資訊

嚴重性: Critical

ID: 289469

檔案名稱: miracle_linux_AXSA-2014-606.nasl

版本: 1.1

類型: local

已發布: 2026/1/16

已更新: 2026/1/16

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.5

Vendor

Vendor Severity: Moderate

CVSS v2

風險因素: High

基本分數: 8.5

時間性分數: 6.3

媒介: CVSS2#AV:N/AC:M/Au:S/C:C/I:C/A:C

CVSS 評分資料來源: CVE-2014-4345

CVSS v3

風險因素: Critical

基本分數: 10

時間性分數: 8.7

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:miracle:linux:krb5-devel, p-cpe:/a:miracle:linux:krb5-server, cpe:/o:miracle:linux:4, p-cpe:/a:miracle:linux:krb5-server-ldap, p-cpe:/a:miracle:linux:krb5-libs, p-cpe:/a:miracle:linux:krb5-workstation, p-cpe:/a:miracle:linux:krb5-pkinit-openssl

必要的 KB 項目: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2014/10/20

弱點發布日期: 2013/11/4

參考資訊

CVE: CVE-2013-1418, CVE-2013-6800, CVE-2014-4341, CVE-2014-4342, CVE-2014-4343, CVE-2014-4344, CVE-2014-4345