CentOS 6 : glibc (CESA-2013:1605)

medium Nessus Plugin ID 79166
新推出!Plugin 嚴重性目前使用 CVSS v3

計算 Plugin 嚴重性已更新為預設使用 CVSS v3 沒有 CVSS v3 評分的 Plugin 會回歸到以 CVSS v2 計算嚴重性。您可在設定下拉式選單中切換顯示嚴重性的喜好設定

Synopsis

遠端 CentOS 主機缺少一個或多個安全性更新。

描述

現已提供適用於 Red Hat Enterprise Linux 6 的更新版 glibc 套件,可修正三個安全性問題、數個錯誤,並新增多個增強功能。

Red Hat 安全性回應團隊已將此更新評等為具有中等安全性影響。可針對每個弱點從〈參照〉一節的 CVE 連結中取得常見弱點評分系統 (CVSS) 的基本分數,其中包含有關嚴重性評等的詳細資訊。

glibc 套件會提供系統上多個程式所使用的標準 C 程式庫 (libc)、POSIX 執行緒程式庫 (libpthread)、標準數學程式庫 (libm),以及名稱伺服器快取程序 (nscd)。如果沒有這些程式庫,Linux 系統就無法正常運作。

在 glibc 的記憶體配置器函式 (pvalloc、 valloc 和 memalign) 中找到多個整數溢位瑕疵,可能會導致堆積型緩衝區溢位。如果應用程式使用了這類函式,可導致應用程式損毀,或可能讓攻擊者以執行該應用程式之使用者的權限,執行任意程式碼。(CVE-2013-4332)

在處理多位元組字元輸入的規則運算式比對常式中發現一個瑕疵。如果應用程式利用 glibc 規則運算式比對機制,攻擊者可提供特製的輸入,在處理時,可能會使應用程式損毀。(CVE-2013-0242)

據發現,getaddrinfo() 無法限制名稱解析期間使用的堆疊記憶體量。能夠讓應用程式解析攻擊者控制之主機名稱或 IP 位址的攻擊者可能使應用程式耗盡所有堆疊記憶體,並造成當機。(CVE-2013-1914)

除了其他變更,此更新還包含下列錯誤的重要修正:

* 由於 Red Hat enterprise Linux 6.0 中 getaddrinfo() 系統呼叫初始版本的缺失,從 /etc/hosts 檔案解析出的 AF_INET 和 AF_INET6 查詢,將查詢名稱傳回為正式名稱。但是系統仍將此錯誤行為視為預期中的行為。由於最近的一項 getaddrinfo() 變更,AF_INET6 查詢已開始正確解析正式名稱。
然而,對於仰賴從 /etc/hosts 檔案解析查詢的應用程式而言,此行為仍在預期之外,且這些應用程式可因此而無法正常運作。此更新套用了修正,可確保從 /etc/hosts 解析的 AF_INET6 查詢一律將查詢的名稱傳回為正式名稱。請注意,DNS 查閱可正確解析,且一律傳回正確的正式名稱。從 /etc/hosts 解析的 AF_INET6 查詢之適當修正,可能適用於未來版本;目前,由於缺少標準,Red Hat 建議將 /etc/hosts 檔案中的第一個項目 (用於解析的 IP 位址) 視為正式項目。
(BZ#1022022)

這些更新版 glibc 套件也包含其他錯誤修正和多種增強功能。因空間所限,無法在此公告中記錄所有這些變更。系統將使用者導向至<參照>一節中的 Red Hat Enterprise Linux 6.5 「技術提示」文件連結,以便其了解這些變更中最重要項目的資訊。

建議所有 glibc 使用者皆升級至這些更新版套件,其中包含可更正這些問題的反向移植修補程式,並新增這些增強功能。

解決方案

更新受影響的 glibc 套件。

另請參閱

http://www.nessus.org/u?f77df32f

Plugin 詳細資訊

嚴重性: Medium

ID: 79166

檔案名稱: centos_RHSA-2013-1605.nasl

版本: 1.10

類型: local

代理程式: unix

已發布: 2014/11/12

已更新: 2021/1/4

相依性: ssh_get_info.nasl

風險資訊

CVSS 評分資料來源: CVE-2013-0242

VPR

風險因素: Medium

分數: 4.4

CVSS v2

風險因素: Medium

基本分數: 5

時間分數: 3.7

媒介: AV:N/AC:L/Au:N/C:N/I:N/A:P

時間媒介: E:U/RL:OF/RC:C

弱點資訊

CPE: p-cpe:/a:centos:centos:glibc, p-cpe:/a:centos:centos:glibc-common, p-cpe:/a:centos:centos:glibc-devel, p-cpe:/a:centos:centos:glibc-headers, p-cpe:/a:centos:centos:glibc-static, p-cpe:/a:centos:centos:glibc-utils, p-cpe:/a:centos:centos:nscd, cpe:/o:centos:centos:6

必要的 KB 項目: Host/local_checks_enabled, Host/CentOS/release, Host/CentOS/rpm-list

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2013/11/26

弱點發布日期: 2013/2/8

參考資訊

CVE: CVE-2013-0242, CVE-2013-1914, CVE-2013-4332

BID: 57638, 58839, 62324

RHSA: 2013:1605