偵測

MiracleLinux 7kernel-3.10.0-514.21.1.el7 (AXSA:2017-1699:05)

high Nessus Plugin ID 290016

語言:

概要

遠端 MiracleLinux 主機缺少一個或多個安全性更新。

說明

遠端 MiracleLinux 7 主機已安裝受到多個弱點影響的套件如 AXSA:2017-1699:05 公告中所提及。

 核心套件包含 Linux 核心 (vmlinuz)這是任何 Linux 作業系統的核心。核心會處理作業系統的基本功能記憶體配置、處理程序配置、裝置輸入和輸出等。
 此版本修正的安全性問題
 CVE-2016-10208 在 4.9.8 之前的 Linux 核心中fs/ext4/super.c 的 ext4_fill_super 函式未正確驗證中繼區塊群組進而允許實際位置靠近的攻擊者造成拒絕服務 (超出邊界讀取和系統當機)透過特製的 ext4 影像。
 CVE-2016-7910 版本舊於 4.7.1 的Linux 核心中block/genhd.c 的 disk_seqf_stop 函式有釋放後使用弱點允許本機使用者藉由利用特定停止作業的執行來取得權限即使對應的啟動作業失敗也是如此。
 CVE-2016-8646 在 4.3.6 之前的 Linux 核心中crypto/algif_hash.c 中的 hash_accept 函式允許本機使用者針對已接收零位元組 的通訊端嘗試觸發使用核心內雜湊演算法進而造成拒絕服務 (OOPS)資料。
 CVE-2017-5986 在 4.9.11 之前的 Linux 核心中net/sctp/socket.c 的 sctp_wait_for_sndbuf 函式內的爭用情形會允許本機使用者透過多執行緒應用程式剝離特定應用程式中的關聯進而造成拒絕服務 (宣告失敗和不穩定)緩衝區滿狀態。
 CVE-2017-7308 在 之前的 Linux 核心中net/packet/af_packet.c 的 packet_set_ring 函式在 4.10.6 之前的版本中未正確驗證特定區塊大小資料其允許本機使用者造成拒絕服務 (整數正負號錯誤和超出邊界write) 或取得權限 (若保留 CAP_NET_RAW 功能)透過特製的系統呼叫。
 其他變更:
 此更新亦可修正數個錯誤,並新增數個增強功能。

Tenable 已直接從 MiracleLinux 安全性公告擷取前置描述區塊。

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新受影響的套件。

另請參閱

https://tsn.miraclelinux.com/en/node/8131

Plugin 詳細資訊

嚴重性: High

ID: 290016

檔案名稱: miracle_linux_AXSA-2017-1699.nasl

版本: 1.1

類型: local

已發布: 2026/1/16

已更新: 2026/1/16

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Critical

分數: 9.4

Vendor

Vendor Severity: High

CVSS v2

風險因素: High

基本分數: 9.3

時間性分數: 8.1

媒介: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C

CVSS 評分資料來源: CVE-2016-7910

CVSS v3

風險因素: High

基本分數: 7.8

時間性分數: 7.5

媒介: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:H/RL:O/RC:C

CVSS 評分資料來源: CVE-2017-7308

弱點資訊

CPE: p-cpe:/a:miracle:linux:kernel-tools, cpe:/o:miracle:linux:7, p-cpe:/a:miracle:linux:kernel-debug, p-cpe:/a:miracle:linux:kernel-tools-libs, p-cpe:/a:miracle:linux:python-perf, p-cpe:/a:miracle:linux:perf, p-cpe:/a:miracle:linux:kernel, p-cpe:/a:miracle:linux:kernel-headers, p-cpe:/a:miracle:linux:kernel-abi-whitelists, p-cpe:/a:miracle:linux:kernel-debug-devel, p-cpe:/a:miracle:linux:kernel-devel

必要的 KB 項目: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2017/6/19

弱點發布日期: 2016/11/7

可惡意利用

Core Impact

參考資訊

CVE: CVE-2016-10208, CVE-2016-7910, CVE-2016-8646, CVE-2017-5986, CVE-2017-7308