Oracle Linux 4:kernel (ELSA-2007-0488)

medium Nessus Plugin ID 67520

概要

遠端 Oracle Linux 主機缺少一個或多個安全性更新。

說明

來自 Red Hat 安全性公告 2007:0488:

現已提供適用於 Red Hat Enterprise Linux 4 核心的更新版核心套件,可修正數個安全性問題和錯誤。

Red Hat 安全性回應團隊已將此安全性公告的安全性影響程度評為重要。

Linux 核心負責處理作業系統的基本功能。

這些新的核心套件包含如下所述之安全性問題的修正:

* SCTP 連線追蹤支援中的瑕疵允許遠端使用者透過解除參照 NULL 指標造成拒絕服務。(CVE-2007-2876,重要)

* 處理 64 位元系統常式的掛載中存有一個瑕疵,可允許本機使用者造成拒絕服務 (當機)。(CVE-2006-7203,重要)

* IPv4 轉送庫中存有一個瑕疵,可允許本機使用者造成超出邊界存取。(CVE-2007-2172,重要)

* PPP over Ethernet 實作中有一個瑕疵,可允許本機使用者藉著建立使用連接的通訊端,然後在呼叫 PPPIOCGCHAN ioctl 之前加以釋放,來造成拒絕服務 (記憶體消耗)。(CVE-2007-2525,重要)

* 在 64 位元平台上執行的 32 位元應用程式的 fput ioctl 處理中有一個瑕疵,可允許本機使用者造成拒絕服務 (不穩定)。(CVE-2007-0773,重要)

* NFS 鎖定程序中有一個瑕疵,可允許本機使用者造成拒絕服務 (鎖死)。(CVE-2006-5158,中等)

* sysfs_readdir 函式中有一個瑕疵,可允許本機使用者藉著解除參照 NULL 指標來造成拒絕服務。
(CVE-2007-3104,中等)

* 在核心轉儲存處理中有一個瑕疵,可允許本機使用者透過 PT_INTERP 從無法讀取的二進位檔建立核心轉儲存。(CVE-2007-0958,低)

* 藍牙子系統中存在一個瑕疵,可讓本機使用者觸發資訊洩漏。(CVE-2007-1353,低)

此外,還解決了下列錯誤:

* NFS 可在相同 spinlock 上遞迴。在某些情況下,NFS 並未在關閉檔案時完全清理 Posix 鎖定,也會導致掛載失敗。

* 32 位元相容性未針對 rt_sigtimedwait 系統呼叫傳回使用者空間正確值。

* 未使用的 inodes 計數有時不正確,進而導致已變更資料未能及時寫入磁碟。

* cciss 驅動程式有一個不正確的磁碟大小計算問題 (差一錯誤),這會使磁碟無法轉儲存。

Red Hat 要感謝 Ilja van Sprundel 和 OpenVZ Linux 核心團隊報告此錯字勘誤表中修正的問題。

建議所有 Red Hat Enterprise Linux 4 使用者皆根據所用之機器架構和組態,將核心升級至此錯字勘誤表中所列的對應套件。

解決方案

更新受影響的 kernel 套件。

另請參閱

https://oss.oracle.com/pipermail/el-errata/2007-June/000244.html

Plugin 詳細資訊

嚴重性: Medium

ID: 67520

檔案名稱: oraclelinux_ELSA-2007-0488.nasl

版本: 1.16

類型: local

代理程式: unix

已發布: 2013/7/12

已更新: 2021/8/24

支援的感應器: Frictionless Assessment Agent, Nessus Agent, Nessus

風險資訊

VPR

風險因素: Low

分數: 3.7

CVSS v2

風險因素: Medium

基本分數: 6.1

時間分數: 4.5

媒介: CVSS2#AV:A/AC:L/Au:N/C:N/I:N/A:C

弱點資訊

CPE: p-cpe:/a:oracle:linux:kernel, p-cpe:/a:oracle:linux:kernel-devel, p-cpe:/a:oracle:linux:kernel-doc, p-cpe:/a:oracle:linux:kernel-largesmp, p-cpe:/a:oracle:linux:kernel-largesmp-devel, p-cpe:/a:oracle:linux:kernel-smp, p-cpe:/a:oracle:linux:kernel-smp-devel, p-cpe:/a:oracle:linux:kernel-sourcecode, p-cpe:/a:oracle:linux:kernel-xenu, p-cpe:/a:oracle:linux:kernel-xenu-devel, cpe:/o:oracle:linux:4

必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/OracleLinux

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2007/6/26

弱點發布日期: 2006/10/5

參考資訊

CVE: CVE-2006-5158, CVE-2006-7203, CVE-2007-0773, CVE-2007-0958, CVE-2007-1353, CVE-2007-2172, CVE-2007-2525, CVE-2007-2876, CVE-2007-3104

BID: 23870, 24376, 24631

CWE: 20, 399

RHSA: 2007:0488