偵測

MiracleLinux 7autofs-5.0.7-54.el7 (AXSA:2015-744:01)

high Nessus Plugin ID 290094

語言:

概要

遠端 MiracleLinux 主機缺少安全性更新。

說明

遠端 MiracleLinux 7 主機已安裝一個受到 AXSA:2015-744:01 公告中所提及的弱點影響的套件。

 autofs 是一個程序可在您使用檔案系統時自動掛載這些檔案系統而稍後會在您不使用時將其卸載。這可包括網路檔案系統、CD-ROM、磁碟片等等。
 此版本修正的安全性問題
 CVE-2014-8169 automount 5.0.8當程式對應使用某些解譯語言時它會使用呼叫使用者的 USER 和 HOME 環境變數值而非用來執行對應程式的使用者值其允許本機使用者透過特洛伊木馬程式取得權限使用者主目錄中的程式。
 修正的錯誤:
 * 在間接掛載的 root 中執行 ls * 命令時autofs 會嘗試實際掛載萬用字元 (*)進而導致將其新增至負面快取。如果在有效掛載前完成,autofs 會在掛載點內部的後續嘗試時失敗,無論有效與否。此問題已經修正,萬用字元對應項目現可在上述情況下正常運作。
 * 當 autofs 遇到多對應項目中有重複項目的語法錯誤時,系統會報告錯誤而不會掛載該對應項目。透過此更新,autofs 已經修改,現會報告記錄中的問題來警告系統管理員,並使用最近看到的重複項目執行個體,不會再失敗。
 * 在 ldap 和 sss 查閱模組中對應讀取函式並未區分「找不到項目」和「不提供服務」錯誤。因此當服務不可用回應從主要對應讀取傳回時autofs 不會更新掛載。未找到項目傳回並未阻止對應更新因此 ldap 和 sss 查閱模組已更新以區分這兩個傳回且現在可如預期運作。
 增強功能:
 * autofs.conf(5) 手冊頁中遺漏組態參數 map_hash_table_size 的描述,且其在設定檔註解中的描述不足。參數描述現已加入 autofs.conf(5),且設定檔註解已經更新。

Tenable 已直接從 MiracleLinux 安全性公告擷取前置描述區塊。

請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新受影響的 autofs 套件。

另請參閱

https://tsn.miraclelinux.com/en/node/6130

Plugin 詳細資訊

嚴重性: High

ID: 290094

檔案名稱: miracle_linux_AXSA-2015-744.nasl

版本: 1.1

類型: local

已發布: 2026/1/16

已更新: 2026/1/16

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.9

Vendor

Vendor Severity: Moderate

CVSS v2

風險因素: Medium

基本分數: 4.4

時間性分數: 3.3

媒介: CVSS2#AV:L/AC:M/Au:N/C:P/I:P/A:P

CVSS 評分資料來源: CVE-2014-8169

CVSS v3

風險因素: High

基本分數: 7.8

時間性分數: 6.8

媒介: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: cpe:/o:miracle:linux:7, p-cpe:/a:miracle:linux:autofs

必要的 KB 項目: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2015/11/24

弱點發布日期: 2015/2/13

參考資訊

CVE: CVE-2014-8169