Oracle Linux 5 / 6:Unbreakable Enterprise Kernel (ELSA-2013-2546)
medium Nessus Plugin ID 69942
語言:
概要
遠端 Oracle Linux 主機缺少一個或多個安全性更新。說明
遠端 Oracle Linux 5/6 主機中安裝的套件受到 ELSA-2013-2546 公告中提及的多個弱點影響。- sctp處理多個 COOKIE_ECHO 區塊 (Max Matveev) [Orabug17371930] {CVE-2013-2206}
- 藍牙L2CAP - 修正透過 getsockname() 的資訊洩漏 (Mathias Krause) [Orabug17371037] {CVE-2012-6544}
- 藍牙HCI - 修正透過 getsockname() 的資訊洩漏 (Mathias Krause) [Orabug17370887] {CVE-2012-6544}
- 藍牙HCI - 修正 getsockopt(HCI_FILTER) 中的資訊洩漏 (Mathias Krause) [Orabug17371061] {CVE-2012-6544}
- sctp在重複 Cookie 處理中使用正確的 sideffect 命令 (Vlad Yasevich) [Orabug: 17371114] {CVE-2013-2206}
- af_key初始化 key_notify_policy_flush() 中的 satype (Nicolas Dichtel) [Orabug: 17370761] {CVE-2013-2237}
- net修正錯誤的認證傳遞 (Linus Torvalds) [Orabug16836975] {CVE-2013-1979}
- tg3修正 VPD 韌體剖析中的長度溢位 (Kees Cook) [Orabug16836958] {CVE-2013-1929}
- USBcdc-wdm修正緩衝區溢位 (Oliver Neukum) [Orabug: 16836943] {CVE-2013-1860}
- ext3修正格式字串問題 (Lars-Peter Clausen) [Orabug16836934] {CVE-2013-1848}
- perf在 perf_swevent_init() 中將 attr.config 視為 u64 (Tommi Rantala) [Orabug16808734] {CVE-2013-2094}
- ipv6ip6_append_data_mtu 並不關心 pmtudisc 和 frag_size (Hannes Frederic Sowa) [Orabug
17296421] {CVE-2013-4163}
- af_key修正通知訊息中的資訊洩漏 (Mathias Krause) [Orabug: 17237752] {CVE-2013-2234}
- drivers/cdrom/cdrom.c使用 kzalloc() 處理失敗的硬體 (Jonathan Salwan) [Orabug17230700] {CVE-2013-2164}
- ipv6ip6_sk_dst_check() 不得假設 ipv6 dst (Eric Dumazet) [Orabug17215196] {CVE-2013-2232}
- block不要以格式字串傳送磁碟名稱 (Kees Cook) [Orabug17230067] {CVE-2013-2851}
- libceph修正驗證用戶端程式碼中的 NULL 指標解除參照 (Tyler Hicks) [Orabug17230100] {CVE-2013-1059}
- xen/blkback允許 OP_DISCARD 前檢查裝置權限 (Konrad Rzeszutek Wilk) {CVE-2013-2140}
- xen/blkback允許 OP_DISCARD 前檢查裝置權限 (Konrad Rzeszutek Wilk) {CVE-2013-2140}
- dcbnl修正多種 netlink 資訊洩漏 (Mathias Krause) [Orabug: 17024912] {CVE-2013-2634}
- b43停止格式字串洩漏至錯誤訊息 (Kees Cook) [Orabug: 16992869] {CVE-2013-2852}
- BluetoothRFCOMM - 修正 rfcomm_sock_recvmsg() 中缺少的 msg_namelen 更新 (Mathias Krause) [Orabug:
16888256] {CVE-2013-3225}
- 藍牙修正 bt_sock_recvmsg() 中可能的資訊洩漏 (Mathias Krause) [Orabug16888251] {CVE-2013-3224}
- atm更新 vcc_recvmsg() 中的 msg_namelen (Mathias Krause) [Orabug16888219] {CVE-2013-3222}
Tenable 已直接從 Oracle Linux 安全公告擷取前置描述區塊。
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
更新受影響的套件。另請參閱
Plugin 詳細資訊
嚴重性: Medium
ID: 69942
檔案名稱: oraclelinux_ELSA-2013-2546.nasl
版本: 1.22
類型: local
代理程式: unix
已發布: 2013/9/18
已更新: 2025/4/30
支援的感應器: Frictionless Assessment Agent, Nessus Agent, Continuous Assessment, Nessus
風險資訊
VPR
風險因素: Medium
分數: 6.0
CVSS v2
風險因素: Medium
基本分數: 4.9
時間性分數: 3.8
媒介: CVSS2#AV:L/AC:L/Au:N/C:C/I:N/A:N
CVSS 評分資料來源: CVE-2013-3076
CVSS v3
風險因素: Medium
基本分數: 5.5
時間性分數: 5
媒介: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
時間媒介: CVSS:3.0/E:P/RL:O/RC:C
CVSS 評分資料來源: CVE-2013-2234
弱點資訊
CPE: cpe:/o:oracle:linux:5, p-cpe:/a:oracle:linux:kernel-uek-debug-devel, p-cpe:/a:oracle:linux:kernel-uek-debug, p-cpe:/a:oracle:linux:kernel-uek-devel, p-cpe:/a:oracle:linux:kernel-uek-doc, p-cpe:/a:oracle:linux:kernel-uek-firmware, p-cpe:/a:oracle:linux:kernel-uek, cpe:/o:oracle:linux:6
必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/OracleLinux
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2013/9/16
弱點發布日期: 2013/2/22
參考資訊
CVE: CVE-2012-6549, CVE-2013-1772, CVE-2013-2140, CVE-2013-2164, CVE-2013-2234, CVE-2013-3076, CVE-2013-4163