偵測

MiracleLinux 7kernel-3.10.0-229.7.2.el7 (AXSA:2015-216:01)

medium Nessus Plugin ID 289483

語言:

概要

遠端 MiracleLinux 主機缺少一個或多個安全性更新。

說明

遠端 MiracleLinux 7 主機已安裝受到多個弱點影響的套件如 AXSA:2015-216:01 公告中所提及。

 核心套件包含 Linux 核心 (vmlinuz)這是任何 Linux 作業系統的核心。核心會處理作業系統的基本功能記憶體配置、處理程序配置、裝置輸入和輸出等。
 此版本修正的安全性問題
 CVE-2014-9420 在 版及其之前 3.18.1 版本的 Linux 核心中fs/isofs/rock.c 的 rock_continue 函式未限制 Rock Ridge 接續項目的數量這可讓本機使用者造成拒絕服務 (無限迴圈以及系統當機或懸置) ) 透過特製的 iso9660 影像。
 CVE-2014-9529 之前的 Linux 核心中security/keys/gc.c 的 key_gc_unused_keys 函式存有爭用情形 3.18.2 允許本機使用者透過會觸發存取的 keyctl 命令造成拒絕服務 (記憶體損毀或不穩定) 或可能造成其他不明影響在金鑰的記憶體回收期間傳送至金鑰結構成員。
 CVE-2014-9584 在 3.18.2 之前的 Linux 核心中fs/isofs/rock.c 的 parse_rock_ridge_inode_internal 函式未驗證延伸模組參照 (ER) 系統使用欄位中的長度值這會允許本機使用者透過特製的 iso9660 影像。
 CVE-2015-1573
 ** 保留 ** 此候選編號已由宣佈新安全性問題時將使用該編號的組織或個人所保留。當候選編號公佈時,將會提供此候選編號的詳細資料。
 CVE-2015-1593 在 64 位元平台上 3.19.1 之前版本的 Linux 核心中堆疊隨機化功能對於按位左移位作業的結果使用不正確的資料類型這讓攻擊者更容易藉由預測堆疊頂端其與 fs/binfmt_elf.c 中的 randomize_stack_top 函式以及 arch/x86/mm/mmap.c 中的 stack_maxrandom_size 函式相關。
 CVE-2015-1805
 ** 保留 ** 此候選編號已由宣佈新安全性問題時將使用該編號的組織或個人所保留。當候選編號公佈時,將會提供此候選編號的詳細資料。
 CVE-2015-2830 在 3.19.2 之前的 Linux 核心中arch/x86/kernel/entry_64.S 並未阻止 TS_COMPAT 旗標連線到使用者模式的工作這可能會讓本機使用者透過特製的應用程式繞過 seccomp 或稽核保護機制使用 (1) 分支或 (2) 關閉系統呼叫針對 3.16之前版本的 seccomp 發動的攻擊即為一例。
 所選元件的版本發行版本編號 (若適用)

Tenable 已直接從 MiracleLinux 安全性公告擷取前置描述區塊。

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新受影響的套件。

另請參閱

https://tsn.miraclelinux.com/en/node/5561

Plugin 詳細資訊

嚴重性: Medium

ID: 289483

檔案名稱: miracle_linux_AXSA-2015-216.nasl

版本: 1.1

類型: local

已發布: 2026/1/16

已更新: 2026/1/16

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Critical

分數: 9.0

Vendor

Vendor Severity: High

CVSS v2

風險因素: High

基本分數: 7.2

時間性分數: 6.3

媒介: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C

CVSS 評分資料來源: CVE-2015-1805

CVSS v3

風險因素: Medium

基本分數: 5.5

時間性分數: 5.3

媒介: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

時間媒介: CVSS:3.0/E:H/RL:O/RC:C

CVSS 評分資料來源: CVE-2015-1573

弱點資訊

CPE: p-cpe:/a:miracle:linux:kernel-tools, cpe:/o:miracle:linux:7, p-cpe:/a:miracle:linux:kernel-debug, p-cpe:/a:miracle:linux:kernel-tools-libs, p-cpe:/a:miracle:linux:perf, p-cpe:/a:miracle:linux:kernel, p-cpe:/a:miracle:linux:kernel-headers, p-cpe:/a:miracle:linux:kernel-abi-whitelists, p-cpe:/a:miracle:linux:kernel-debug-devel, p-cpe:/a:miracle:linux:kernel-devel

必要的 KB 項目: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2015/7/25

弱點發布日期: 2014/12/17

參考資訊

CVE: CVE-2014-9420, CVE-2014-9529, CVE-2014-9584, CVE-2015-1573, CVE-2015-1593, CVE-2015-1805, CVE-2015-2830