OracleVM 3.3:cups (OVMSA-2014-0035)

high Nessus Plugin ID 79550
新推出!Plugin 嚴重性目前使用 CVSS v3

計算 Plugin 嚴重性已更新為預設使用 CVSS v3 沒有 CVSS v3 評分的 Plugin 會回歸到以 CVSS v2 計算嚴重性。您可在設定下拉式選單中切換顯示嚴重性的喜好設定

Synopsis

遠端 OracleVM 主機缺少一個或多個安全性更新。

描述

遠端 OracleVM 系統缺少可解決重要安全性更新的必要修補程式:

- 還原白名單 /rss/ 資源的變更,因為這並未在上游使用。

- 更多來自上游的 STR #4461 修正:讓 rss 摘要改為任何人皆可讀取,但將 cachedir 改為私人。

- 修正伺服器重新啟動時 Web 介面中的圖示顯示 (STR #4475)。

- 修正 STR #4461 的上游修補程式:允許我們建立之檔案的 /rss/ 要求。

- 使用 STR #4461 的上游修補程式。

- 套用上游修補程式,以修正 CVE-2014-5029 (錯誤 #1122600)、CVE-2014-5030 (錯誤 #1128764)、CVE-2014-5031 (錯誤 #1128767)。

- 修正已驗證使用者的 conf/log 檔案讀取 (STR #4461)。

- 修正 CGI 處理 (STR #4454、錯誤 #1120419)。

- 修正 CVE-2014-3537 的修補程式 (錯誤 #1117794)

- CVE-2014-2856:跨網站指令碼瑕疵 (錯誤 #1117798)

- CVE-2014-3537:檢查不足導致權限提升 (錯誤 #1117794)

- 移除套件描述變更。

- 套用修補程式,以修正在 httpSetTimeout 中新增所致的「錯誤的要求」錯誤 (STR #4440,亦屬於 svn 修訂版 9967 的一部分)。

- 修正沒有資料就緒時 cupsd 讀取的逾時問題 (錯誤 #1110045)。

- 修正 synconclose 修補程式,以免出現「格式引數過多」警告。

- 修正 settimeout 修補程式,納入 fmod 宣告的 math.h。

- 修正讓 Web 介面無法變更驅動程式的錯字 (錯誤 #1104483、STR #3601)。

- 修正 SyncOnClose 修補程式 (錯誤 #984883)。

- 使用上游修補程式,避免重新執行 GSS 認證 (錯誤 #1040293)。

- 避免整個暫停/恢復的 BrowsePoll 問題 (錯誤 #769292):

- 消除回應的無限期等待 (svn 修訂版 9688)。

- 從 CUPS 1.5 反向移植 httpSetTimeout API 函式並在 ipp 後端中使用,所以我們會在印表機回應、遇到重大錯誤或作業取消前無限期等待。

- cups-polld:發生錯誤時重新連線。

- 新增 SyncOnClose 指示詞,以在將組態 files: 預設改為「是」後使用 fsync。在 cupsd.conf 中進行調整 (錯誤 #984883)。

- 修正 cupsctl 手冊頁錯字 (錯誤 #1011076)。

- 針對條件式 php 構建使用更多的可攜式 rpm 規格檔語法 (錯誤 #988598)。

- 修正 cupsd.conf 中的 SetEnv 指示詞 (錯誤 #986495)。

- 修正 ‘collection’ 屬性的傳送 (錯誤 #978387)。

- 避免 format_log 分割錯誤 (錯誤 #971079)。

- 避免字串集區損毀 (錯誤 #884851)。

- 當作業將逾時的印表機排入佇列時不會當機 (錯誤 #855431)。

- multipart 處理中斷的上游修補程式 (錯誤 #852846)。

- 以正確的權限安裝 /etc/cron.daily/cups (錯誤 #1012482)。

- 修正具有多個檔案和格式的作業 (錯誤 #972242)。

- 套用修補程式以修正 CVE-2012-5519 (SystemGroup 中或具有等同 polkit 權限的使用者提升權限)。這既可防止路徑在 /admin/conf/ 底下的 HTTP PUT 要求 (cupsd.conf 的要求除外),亦可防止如變更特定組態指示詞 (如 PageLog 和 FileDevice) 的要求 (錯誤 #875898)。

解決方案

更新受影響的 cups / cups-libs 套件。

另請參閱

http://www.nessus.org/u?5c27127c

Plugin 詳細資訊

嚴重性: High

ID: 79550

檔案名稱: oraclevm_OVMSA-2014-0035.nasl

版本: 1.7

類型: local

已發布: 2014/11/26

已更新: 2021/1/4

相依性: ssh_get_info.nasl

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: High

基本分數: 7.2

時間分數: 5.3

媒介: AV:L/AC:L/Au:N/C:C/I:C/A:C

時間媒介: E:U/RL:OF/RC:C

弱點資訊

CPE: p-cpe:/a:oracle:vm:cups, p-cpe:/a:oracle:vm:cups-libs, cpe:/o:oracle:vm_server:3.3

必要的 KB 項目: Host/local_checks_enabled, Host/OracleVM/release, Host/OracleVM/rpm-list

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2014/11/4

弱點發布日期: 2012/11/19

參考資訊

CVE: CVE-2012-5519, CVE-2014-2856, CVE-2014-3537, CVE-2014-5029, CVE-2014-5030, CVE-2014-5031

BID: 56494, 66788, 68788, 68842, 68846, 68847