GLSA-201412-08：於 2010 年修正的多個套件中的多個弱點

critical Nessus Plugin ID 79961

語系：

概要

遠端 Gentoo 主機缺少一個或多個與安全性相關的修補程式。

說明

遠端主機受到 GLSA-201412-08 中所述的弱點影響 (於 2010 年修正的多個套件中的多個弱點)

在以下所列套件中發現多個弱點。
如需詳細資訊，請參閱＜參照＞一節中的 CVE 識別碼。
Insight Perl Tk Module Source-Navigator Tk Partimage Mlmmj acl Xinit gzip ncompress liblzw splashutils GNU M4 KDE Display Manager GTK+ KGet dvipng Beanstalk Policy Mount pam_krb5 GNU gv LFTP Uzbl Slim Bitdefender Console iputils DVBStreamer 影響：

內容相依的攻擊者可能會取得提升的權限、執行任意程式碼、引發拒絕服務、取得敏感資訊，或是繞過安全性限制。
因應措施：

目前尚無任何已知的因應措施。

解決方案

所有 Insight 使用者皆應升級至最新版本：
# emerge --sync # emerge --ask --oneshot --verbose '>=dev-util/insight-6.7.1-r1' 所有 Perl Tk Module 使用者皆應升級至最新版本：
# emerge --sync # emerge --ask --oneshot --verbose '>=dev-perl/perl-tk-804.028-r2' 所有 Source-Navigator 使用者皆應升級至最新版本：
# emerge --sync # emerge --ask --oneshot --verbose '>=dev-util/sourcenav-5.1.4' 所有 Tk 使用者皆應升級至最新版本：
# emerge --sync # emerge --ask --oneshot --verbose '>=dev-lang/tk-8.4.18-r1' 所有 Partimage 使用者皆應升級至最新版本：
# emerge --sync # emerge --ask --oneshot --verbose '>=sys-block/partimage-0.6.8' 所有 Mlmmj 使用者皆應升級至最新版本：
# emerge --sync # emerge --ask --oneshot --verbose '>=net-mail/mlmmj-1.2.17.1' 所有 acl 使用者皆應升級至最新版本：
# emerge --sync # emerge --ask --oneshot --verbose '>=sys-apps/acl-2.2.49' 所有 Xinit 使用者皆應升級至最新版本：
# emerge --sync # emerge --ask --oneshot --verbose '>=x11-apps/xinit-1.2.0-r4' 所有 gzip 使用者皆應升級至最新版本：
# emerge --sync # emerge --ask --oneshot --verbose '>=app-arch/gzip-1.4' 所有 ncompress 使用者皆應升級至最新版本：
# emerge --sync # emerge --ask --oneshot --verbose '>=app-arch/ncompress-4.2.4.3' 所有 liblzw 使用者皆應升級至最新版本：
# emerge --sync # emerge --ask --oneshot --verbose '>=dev-libs/liblzw-0.2' 所有 splashutils 使用者皆應升級至最新版本：
# emerge --sync # emerge --ask --oneshot --verbose '>=media-gfx/splashutils-1.5.4.3-r3' 所有 GNU M4 使用者皆應升級至最新版本：
# emerge --sync # emerge --ask --oneshot --verbose '>=sys-devel/m4-1.4.14-r1' 所有 KDE Display Manager 使用者皆應升級至最新版本：
# emerge --sync # emerge --ask --oneshot --verbose '>=kde-base/kdm-4.3.5-r1' 所有 GTK+ 使用者皆應升級至最新版本：
# emerge --sync # emerge --ask --oneshot --verbose '>=x11-libs/gtk+-2.18.7' 所有 KGet 4.3 使用者皆應升級至最新版本：
# emerge --sync # emerge --ask --oneshot --verbose '>=kde-base/kget-4.3.5-r1' 所有 dvipng 使用者皆應升級至最新版本：
# emerge --sync # emerge --ask --oneshot --verbose '>=app-text/dvipng-1.13' 所有 Beanstalk 使用者皆應升級至最新版本：
# emerge --sync # emerge --ask --oneshot --verbose '>=app-misc/beanstalkd-1.4.6' 所有 Policy Mount 使用者皆應升級至最新版本：
# emerge --sync # emerge --ask --oneshot --verbose '>=sys-apps/pmount-0.9.23' 所有 pam_krb5 使用者皆應升級至最新版本：
# emerge --sync # emerge --ask --oneshot --verbose '>=sys-auth/pam_krb5-4.3' 所有 GNU gv 使用者皆應升級至最新版本：
# emerge --sync # emerge --ask --oneshot --verbose '>=app-text/gv-3.7.1' 所有 LFTP 使用者皆應升級至最新版本：
# emerge --sync # emerge --ask --oneshot --verbose '>=net-ftp/lftp-4.0.6' 所有 Uzbl 使用者皆應升級至最新版本：
# emerge --sync # emerge --ask --oneshot --verbose '>=www-client/uzbl-2010.08.05' 所有 Slim 使用者皆應升級至最新版本：
# emerge --sync # emerge --ask --oneshot --verbose '>=x11-misc/slim-1.3.2' 所有 iputils 使用者皆應升級至最新版本：
# emerge --sync # emerge --ask --oneshot --verbose '>=net-misc/iputils-20100418' 所有 DVBStreamer 使用者皆應升級至最新版本：
# emerge --sync # emerge --ask --oneshot --verbose '>=media-tv/dvbstreamer-1.1-r1' Gentoo 已不再支援 Bitdefender Console。我們建議使用者取消合併 Bitdefender Console：
# emerge --unmerge 'app-antivirus/bitdefender-console' 注意：這是舊版 GLSA。自 2011 年起，已提供適用於所有受影響架構的更新。您所使用的系統很可能已經不再受這些問題影響。

另請參閱

https://security.gentoo.org/glsa/201412-08

Plugin 詳細資訊

嚴重性: Critical

ID: 79961

檔案名稱: gentoo_GLSA-201412-08.nasl

版本: 1.9

類型: local

系列: Gentoo Local Security Checks

已發布: 2014/12/15

已更新: 2021/1/6

支援的感應器: Nessus

風險資訊

VPR

風險因素: High

分數: 7.4

CVSS v2

風險因素: Critical

基本分數: 10

時間分數: 7.8

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS v3

風險因素: Critical

基本分數: 9.8

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

弱點資訊

CPE: p-cpe:/a:gentoo:linux:acl, p-cpe:/a:gentoo:linux:beanstalkd, p-cpe:/a:gentoo:linux:bitdefender-console, p-cpe:/a:gentoo:linux:dvbstreamer, p-cpe:/a:gentoo:linux:dvipng, p-cpe:/a:gentoo:linux:gtk%2b, p-cpe:/a:gentoo:linux:gv, p-cpe:/a:gentoo:linux:gzip, p-cpe:/a:gentoo:linux:insight, p-cpe:/a:gentoo:linux:iputils, p-cpe:/a:gentoo:linux:kdm, p-cpe:/a:gentoo:linux:kget, p-cpe:/a:gentoo:linux:lftp, p-cpe:/a:gentoo:linux:liblzw, p-cpe:/a:gentoo:linux:m4, p-cpe:/a:gentoo:linux:mlmmj, p-cpe:/a:gentoo:linux:ncompress, p-cpe:/a:gentoo:linux:pam_krb5, p-cpe:/a:gentoo:linux:partimage, p-cpe:/a:gentoo:linux:perl-tk, p-cpe:/a:gentoo:linux:pmount, p-cpe:/a:gentoo:linux:slim, p-cpe:/a:gentoo:linux:sourcenav, p-cpe:/a:gentoo:linux:splashutils, p-cpe:/a:gentoo:linux:tk, p-cpe:/a:gentoo:linux:uzbl, p-cpe:/a:gentoo:linux:xinit, cpe:/o:gentoo:linux

必要的 KB 項目: Host/local_checks_enabled, Host/Gentoo/release, Host/Gentoo/qpkg-list

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2014/12/11

弱點發布日期: 2006/6/13

參考資訊

CVE: CVE-2006-3005, CVE-2007-2741, CVE-2008-0553, CVE-2008-1382, CVE-2008-5907, CVE-2008-6218, CVE-2008-6661, CVE-2009-0040, CVE-2009-0360, CVE-2009-0361, CVE-2009-0946, CVE-2009-2042, CVE-2009-2624, CVE-2009-3736, CVE-2009-4029, CVE-2009-4411, CVE-2009-4896, CVE-2010-0001, CVE-2010-0436, CVE-2010-0732, CVE-2010-0829, CVE-2010-1000, CVE-2010-1205, CVE-2010-1511, CVE-2010-2056, CVE-2010-2060, CVE-2010-2192, CVE-2010-2251, CVE-2010-2529, CVE-2010-2809, CVE-2010-2945

BID: 24001, 27655, 28770, 31920, 32751, 33740, 33741, 33827, 33990, 34550, 35233, 37128, 37378, 37455, 37886, 37888, 38211, 39467, 39969, 40141, 40426, 40516, 40939, 41174, 41841, 41911, 42297, 43728

CWE: 119, 189, 20, 200, 264, 287, 399, 94

GLSA: 201412-08