MiracleLinux 4 : libguestfs-1.20.11-2.0.1.AXS4 (AXSA:2014-288:02)
high Nessus Plugin ID 289866
語言:
概要
遠端 MiracleLinux 主機缺少安全性更新。說明
遠端 MiracleLinux 4 主機已安裝受 AXSA:2014-288:02 公告中所提及一個弱點影響的套件。Libguestfs 是用於存取和修改來賓磁碟映像的程式庫。這有利於以下項目進行批次組態變更來賓、取得磁碟使用/釋放統計資料 (另請參閱 virt-df)、在虛擬化系統之間移轉 (另請參閱 virt-p2v)、執行部分備份、執行部分來賓複製、複製來賓和變更登錄檔/UUID/主機名稱資訊等等。
Libguestfs 使用 Linux 核心與 qemu 程式碼且可存取 Linux 與 qemu 可存取的任何類型來賓檔案系統包括但不限於 ext2/3/4、btrfs、FAT 與 NTFS、LVM、許多不同的磁碟分割配置、qcow、 qcow2、vmdk。
Libguestfs 提供列舉來賓儲存裝置的方法 (例如磁碟分割、LV、每個 LV 中的檔案系統等等)。它也可以在來賓的內容中執行命令。
Libguestfs 是可與 C 和 C++ 管理程式連結的程式庫。
針對高階 virt 工具、guestfish (shell 指令碼和命令行存取) 和 guestmount (使用 FUSE 掛載來賓檔案系統)請安裝「libguestfs-tools」。
針對 shell 指令碼和命令行存取權請安裝「guestfish」。
若要使用 FUSE 在主機上掛載來賓檔案系統請安裝「libguestfs-mount」。
針對 Java 系結安裝「libguestfs-java-devel」。
針對 OCaml 系結安裝「ocaml-libguestfs-devel」。
針對 Perl 系結安裝「perl-Sys-Guestfs」。
針對 Python 系結安裝「python-libguestfs」。
針對 Ruby 系結安裝「ruby-libguestfs」。
此版本修正的安全性問題
CVE-2013-4419 libguestfs 1.20.12、 1.22.7和更舊版本中的 guestfish 命令使用 --remote 或 --listen 選項時若在此目錄中建立暫存通訊端檔案時未正確檢查 /tmp/.guestfish-$UID/ 的擁有權其允許本機使用者藉由提前建立 /tmp/.guestfish-$UID/ 寫入通訊端並執行任意命令。
修正的錯誤:
已移除 buildnet版本現在會自動偵測網路。
反向移植新的 API part-get-gpt-type 與 part-set-gpt-type 修正檢查特定來賓檔案/影像時因一個重複釋放瑕疵所導致的 DoS (中止) 問題。
之前libguestfs 無法偵測使用非預設 systemroot 路徑的 MS Windows 來賓。此問題已修正現在會使用 boot.ini 檔案尋找 systemroot 路徑。
為 guestfish 新增返回狀態命令。
之前若未指定目標大小ntfsresize 會失敗。此問題已經修正libguestfs 現在會自動建立目標儲存裝置的大小。
已修正 txz-out API。
已將 virt-sysprep 移至 libguestfs-tools-c 套件因為其不再是 shell 指令碼。
修正主機名稱檢查由於 Augeas 路徑運算式它發生錯誤。之前在新增 rive 時使用 iface 參數時libguestfs 會進入無限迴圈。這個問題已修正。
新增有關調整 Windows 磁碟映像大小的備註至 virt-resize 文件 移除對 lsscsi 的相依性。
已修正 yum 快取複本現可在有數個存放庫時運作。
修正 hivex-commit API 因相對路徑而失敗的問題。
改善檔案系統可用 API 的文件。
修正核心連結在啟動期間失敗時發生的重複釋放問題。 修正 virt-sysprep --firstboot 選項。
修正 cap-get-file使其在沒有端點時傳回空白字串而非錯誤。
改善 acl-set-file 的文件說明。
修正使用 guestfish 時出現的假 waitpid 錯誤訊息 --remote。
停用 9p 支援。
已記錄 guestfish --remote 無法搭配某些其他引數使用。
之前在負載過重的情況下除錯輸出中會出現訊息。 libguestfs 現在會檢查是否已啟用 kvmclock 核心功能這會減少輸出。
之前如果在執行 guestfs_sh 或 sh 命令之前未掛載檔案系統guestfish 公用程式會因分割錯誤而損毀。已在 guestfish 中新增一個檢查其會在檔案系統未掛載時報告錯誤訊息。
新增多種對 tar-out「excludes」的修正。
記錄 glob + rsync-out 的使用。
記錄 mke2fs 區塊計數。
Tenable 已直接從 MiracleLinux 安全性公告擷取前置描述區塊。
請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
更新受影響的套件。另請參閱
Plugin 詳細資訊
嚴重性: High
ID: 289866
檔案名稱: miracle_linux_AXSA-2014-288.nasl
版本: 1.1
類型: local
已發布: 2026/1/16
已更新: 2026/1/16
支援的感應器: Nessus Agent, Nessus
風險資訊
VPR
風險因素: Medium
分數: 5.9
Vendor
Vendor Severity: High
CVSS v2
風險因素: Medium
基本分數: 6.8
時間性分數: 5
媒介: CVSS2#AV:A/AC:H/Au:N/C:C/I:C/A:C
CVSS 評分資料來源: CVE-2013-4419
CVSS v3
風險因素: High
基本分數: 7.8
時間性分數: 6.8
媒介: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: p-cpe:/a:miracle:linux:libguestfs-java, p-cpe:/a:miracle:linux:libguestfs-tools, p-cpe:/a:miracle:linux:libguestfs-tools-c, p-cpe:/a:miracle:linux:perl-sys-guestfs, cpe:/o:miracle:linux:4, p-cpe:/a:miracle:linux:python-libguestfs, p-cpe:/a:miracle:linux:libguestfs
必要的 KB 項目: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2014/5/5
弱點發布日期: 2013/10/9
參考資訊
CVE: CVE-2013-4419