偵測

Mandriva Linux 安全性公告:augeas (MDVSA-2014:022)

medium Nessus Plugin ID 72134

語系:

概要

遠端 Mandriva Linux 主機缺少一或多個安全性更新。

說明

更新版 augeas 套件可修正安全性弱點:

更新組態檔時,在 Augeas 處理組態檔的方式中發現多個瑕疵。若應用程式使用 Augeas 來更新其他使用者可寫入之目錄中的組態檔 (例如以 root 身分執行的應用程式,更新了屬於非 root 服務使用者之目錄中的檔案),則可因遭到誘騙而覆寫任意檔案,或是透過符號連結或掛載點攻擊來洩漏資訊 (CVE-2012-0786、CVE-2012-0787)。

建立新組態檔時,在 Augeas 處理特定 umask 設定的方式中發現一個瑕疵。此瑕疵可導致任何人皆可寫入所建立的組態檔,進而允許無權限的本機使用者修改其中的內容 (CVE-2013-6412)。

解決方案

更新受影響的套件。

另請參閱

https://access.redhat.com/errata/RHSA-2013:1537

https://access.redhat.com/errata/RHSA-2014:0044

Plugin 詳細資訊

嚴重性: Medium

ID: 72134

檔案名稱: mandriva_MDVSA-2014-022.nasl

版本: 1.8

類型: local

已發布: 2014/1/27

已更新: 2021/1/6

支援的感應器: Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.7

CVSS v2

風險因素: Medium

基本分數: 4.6

時間分數: 3.4

媒介: CVSS2#AV:L/AC:L/Au:N/C:P/I:P/A:P

弱點資訊

CPE: p-cpe:/a:mandriva:linux:augeas, p-cpe:/a:mandriva:linux:augeas-lenses, p-cpe:/a:mandriva:linux:lib64augeas-devel, p-cpe:/a:mandriva:linux:lib64augeas0, p-cpe:/a:mandriva:linux:lib64fa1, cpe:/o:mandriva:business_server:1

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2014/1/24

參考資訊

CVE: CVE-2012-0786, CVE-2012-0787, CVE-2013-6412

BID: 63861

MDVSA: 2014:022