偵測

MiracleLinux 4kernel-2.6.32-431.20.3.el6 (AXSA:2014-454:03)

high Nessus Plugin ID 291494

語言:

概要

遠端 MiracleLinux 主機缺少一個或多個安全性更新。

說明

遠端 MiracleLinux 4 主機已安裝受到多個弱點影響的套件如 AXSA:2014-454:03 公告中所提及。

 核心套件包含 Linux 核心 (vmlinuz)這是任何 Linux 作業系統的核心。核心會處理作業系統的基本功能記憶體配置、處理程序配置、裝置輸入和輸出等。
 此版本修正的安全性問題
 CVE-2013-6378 在 3.12.1 之前的 Linux 核心中drivers/net/wireless/libertas/debugfs.c 的 lbs_debugfs_write 函式允許本機使用者利用零長度寫入作業的 root 權限來造成拒絕服務 (OOPS)。
 CVE-2014-0203 在 2.6.33 之前的 Linux 核心中fs/namei.c 的 __do_follow_link 函式在使用特定檔案系統期間未正確處理最後一個路徑名稱元件其允許本機使用者造成拒絕服務 (不正確的釋放作業和系統當機)透過 open 系統呼叫。
 CVE-2014-17373.14.3 在之前的 Linux 核心中drivers/block/floppy.c 的 raw_cmd_copyin 函式在處理 FDRAWCMD ioctl 呼叫期間未正確處置錯誤情形其允許本機使用者利用對 的寫入存取來觸發 kfree 作業並取得權限/dev/fd 裝置。
 CVE-2014-1738 在 3.14.3 之前的 Linux 核心中drivers/block/floppy.c 的 raw_cmd_copyout 函式在處理 FDRAWCMD ioctl 呼叫期間未正確限制對特定指標的存取進而允許本機使用者透過利用/dev/fd 裝置的寫入存取權。
 CVE-2014-1874 在 3.13.4 之前的 Linux 核心中security/selinux/ss/services.c 內的 security_context_to_sid_core 函式允許本機使用者利用 CAP_MAC_ADMIN 功能設定零長度安全性內容藉此造成拒絕服務 (系統當機)。
 在 s390 平台上CVE-2014-20393.13.5 之前的 Linux 核心中的 arch/s390/kernel/head64.S 並未正確處理嘗試使用連結堆疊其允許本機使用者透過執行特製的指示 CVE-2014-3153 在 之前的 Linux 核心中kernel/futex.c 的 futex_requeue 函式 3.14.5 未確認呼叫具有兩個不同的 futex 位址這可讓本機使用者透過有助於不安全等候者修改的特製 FUTEX_REQUEUE 命令取得權限。
 修正的錯誤:
 此更新還可修正數個錯誤。

Tenable 已直接從 MiracleLinux 安全性公告擷取前置描述區塊。

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新受影響的套件。

另請參閱

https://tsn.miraclelinux.com/en/node/4898

Plugin 詳細資訊

嚴重性: High

ID: 291494

檔案名稱: miracle_linux_AXSA-2014-454.nasl

版本: 1.2

類型: local

已發布: 2026/1/19

已更新: 2026/2/5

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Critical

分數: 9.7

Vendor

Vendor Severity: Moderate

CVSS v2

風險因素: High

基本分數: 7.2

時間性分數: 6.3

媒介: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C

CVSS 評分資料來源: CVE-2014-3153

CVSS v3

風險因素: High

基本分數: 7.8

時間性分數: 7.5

媒介: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:H/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:miracle:linux:kernel-debug, p-cpe:/a:miracle:linux:kernel-debug-devel, p-cpe:/a:miracle:linux:perf, cpe:/o:miracle:linux:4, p-cpe:/a:miracle:linux:kernel-headers, p-cpe:/a:miracle:linux:kernel-firmware, p-cpe:/a:miracle:linux:kernel, p-cpe:/a:miracle:linux:kernel-devel, p-cpe:/a:miracle:linux:kernel-abi-whitelists

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2014/7/17

弱點發布日期: 2013/11/22

CISA 已知遭惡意利用弱點到期日: 2022/6/15

可惡意利用

CANVAS (CANVAS)

Core Impact

Metasploit (Android Towelroot Futex Requeue Kernel Exploit)

參考資訊

CVE: CVE-2013-6378, CVE-2014-0203, CVE-2014-1737, CVE-2014-1738, CVE-2014-1874, CVE-2014-2039, CVE-2014-3153