偵測

MiracleLinux 4glibc-2.12-1.132.AXS4 (AXSA:2014-073:01)

high Nessus Plugin ID 289561

語言:

概要

遠端 MiracleLinux 主機缺少一個或多個安全性更新。

說明

遠端 MiracleLinux 4 主機已安裝受到多個弱點影響的套件如 AXSA:2014-073:01 公告中所提及。

 glibc 套件包含系統上多個程式使用的標準程式庫。為了節省磁碟空間和記憶體並使升級更容易通用系統程式碼會保留在一個位置並在程式之間共用。此特定套件包含數組最重要的共用程式庫標準 C 程式庫和標準 math 程式庫。如果沒有這兩個程式庫Linux 系統將無法運作。
 此版本修正的安全性問題
 CVE-2013-0242 在 glibc (可能 2.17 和更舊版本) 中規則運算式比對器 (posix/regexec.c) 的 extend_buffers 函式有緩衝區溢位這會允許內容相依的攻擊者透過特製的多位元組字元造成拒絕服務 (記憶體損毀和當機) 。
 CVE-2013-1914 在 GNU C 程式庫 (亦即 glibc 或 libc6) 中sysdeps/posix/getaddrinfo.c 的 getaddrinfo 函式存有堆疊型緩衝區溢位 2.17 和更舊版本允許遠端攻擊者透過 (1)觸發大量網域轉換結果的主機名稱或 (2) IP 位址。
 CVE-2013-4332 GNU C 程式庫 (亦即 glibc 或 libc6) 和更舊版本中的 malloc/malloc.c 有多個整數溢位問題 2.18 可讓內容相依的攻擊者透過 (1) 的大值造成拒絕服務 (堆積損毀) pvalloc、(2) valloc、(3) posix_memalign、(4) memalign 或 (5) aligned_alloc 函式。
 修正的錯誤:
 getaddrinfo() 系統呼叫初始版本中有一個缺失會造成 AF_INET 和 AF_INET6 查詢將從 /etc/hosts 檔案查詢的名稱傳回作為正式名稱。此行為不正確但卻是預期中的行為。不過後來在 getaddrinfo() 函式中進行的變更可讓 AF_INET6 查詢正確傳回正式名稱不過這因應用程式依賴 /etc/hosts 檔案中的查詢而未預期而且可能無法正常運作。此更新可確保從 /etc/hosts 解析的 AF_INET6 查詢一律傳回正式名稱。建立標準時可能會發出適當的修補程式。目前應將 /etc/hosts 檔案中的第一個項目視為正式項目。
 在之前使用 AF_UNSPEC 位址系列查詢位址時nscd 有時無法傳回 IPv4 和 IPv6 位址即使 IPv4 和 IPv6 結果都存在也是如此。這個問題已修正。

Tenable 已直接從 MiracleLinux 安全性公告擷取前置描述區塊。

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新受影響的套件。

另請參閱

https://tsn.miraclelinux.com/en/node/4507

Plugin 詳細資訊

嚴重性: High

ID: 289561

檔案名稱: miracle_linux_AXSA-2014-073.nasl

版本: 1.1

類型: local

已發布: 2026/1/16

已更新: 2026/1/16

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.7

Vendor

Vendor Severity: High

CVSS v2

風險因素: Medium

基本分數: 5

時間性分數: 3.9

媒介: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P

CVSS 評分資料來源: CVE-2013-1914

CVSS v3

風險因素: High

基本分數: 7.5

時間性分數: 6.7

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

時間媒介: CVSS:3.0/E:P/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:miracle:linux:glibc-devel, p-cpe:/a:miracle:linux:glibc-utils, p-cpe:/a:miracle:linux:glibc, p-cpe:/a:miracle:linux:nscd, cpe:/o:miracle:linux:4, p-cpe:/a:miracle:linux:glibc-headers, p-cpe:/a:miracle:linux:glibc-common

必要的 KB 項目: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2014/3/18

弱點發布日期: 2013/1/30

參考資訊

CVE: CVE-2013-0242, CVE-2013-1914, CVE-2013-4332