OracleVM 3.2:sudo (OVMSA-2016-0079)
medium Nessus Plugin ID 91755
語系:
概要
遠端 OracleVM 主機缺少一個安全性更新。說明
遠端 OracleVM 系統缺少可解決重要安全性更新的必要修補程式:- 新增 CVE-2014-0106 的修補程式:env_reset 已停用時未清理某些環境變數 解決:rhbz#1072210
- 反向移植 CVE-2013-1775 CVE-2013-1776 (CVE-2013-2776) CVE-2013-2777 的修正 解決:rhbz#968221
- visudo:修正與未定義的別名 (實際上已定義) 有關的錯誤警告和剖析錯誤 解決:rhbz#849679 解決:rhbz#905624
- 更新 sudoers 手冊頁,清楚說明命令規格中的使用者否定運算子的行為和萬用字元符合行為 解決:rhbz#846118 解決:rhbz#856902
- 修正逸出 sudo -i 引數時的迴歸 解決:rhbz#853203
- 升級版本號碼
- 修正使用者和群組名稱快取
- 反向移植 LDAP 查詢的 RFC 4515 逸出
解決:rhbz#855836 解決:rhbz#869287
- 新增 -c 選項至 post/postun 指令碼中的 sed 命令 解決:rhbz#818585
- 實作新的 sudoers Defaults 選項以還原舊命令 exec 行為 解決:rhbz#840971
- 新增在 sudoers.ldap 中以經授權的方式處理檔案之功能 解決:rhbz#840097
- 將 policycoreutils 相依性變更限定內容的相依性 (post 與 postun) 解決:rhbz#846694
- 修改 nsswitch.conf 時不使用暫存檔
- 必要時修正 nsswitch.conf 的權限
解決:rhbz#846631
- 新增處理子處理程序過程發生的爭用情形之因應措施 解決:rhbz#829263
- 在 post/postun 指令碼中使用安全的暫存檔
- 更正 postun 指令碼 解決:rhbz#841070
- 更正版本號碼
- 修改 postun scriplet 中的 nsswitch.conf 後呼叫 restorecon
- 新增 policycoreutils 相依性 解決:rhbz#818585
- 修正「sudo -i」命令逸出 (#806073)
- 修正多個 sudoHost LDAP 屬性處理 (#740884) 解決:rhbz#740884 解決:rhbz#806073
解決方案
更新受影響的 sudo 套件。另請參閱
https://oss.oracle.com/pipermail/oraclevm-errata/2016-June/000493.html
Plugin 詳細資訊
嚴重性: Medium
ID: 91755
檔案名稱: oraclevm_OVMSA-2016-0079.nasl
版本: 2.6
類型: local
已發布: 2016/6/22
已更新: 2021/1/4
支援的感應器: Nessus
風險資訊
VPR
風險因素: High
分數: 8.9
CVSS v2
風險因素: Medium
基本分數: 6.9
時間分數: 5.7
媒介: CVSS2#AV:L/AC:M/Au:N/C:C/I:C/A:C
弱點資訊
CPE: p-cpe:/a:oracle:vm:sudo, cpe:/o:oracle:vm_server:3.2
必要的 KB 項目: Host/local_checks_enabled, Host/OracleVM/release, Host/OracleVM/rpm-list
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2016/6/21
弱點發布日期: 2013/3/5
可惡意利用
CANVAS (CANVAS)
Core Impact
Metasploit (Mac OS X Sudo Password Bypass)
參考資訊
CVE: CVE-2013-1775, CVE-2013-1776, CVE-2013-2776, CVE-2013-2777, CVE-2014-0106