検出

MiracleLinux 4perl-5.10.1-119.AXS4AXSA:2011-570:01

critical Nessus プラグイン ID 283989

Language:

概要

リモート MiracleLinux ホストに 1 つ以上のセキュリティ更新がありません。

説明

リモートの MiracleLinux 4 ホストには、AXSA:2011-570:01 アドバイザリで言及されているように、複数の脆弱性の影響を受けるパッケージがインストールされています。

 Perl は、C、sed、awk およびシェルスクリプトに root がある高レベルのプログラミング言語です。Perl は、プロセスとファイルの処理、特にテキストの処理が優れています。Perl の特権は、実用性と効率です。さまざまなことを行うために使用されますが、Perl の最も一般的なアプリケーションは、システム管理ユーティリティと Web プログラミングです。Web 上の CGI スクリプトの大部分は Perl で記述されています。システムが Perl スクリプトを処理できるようにするためには、システムに perl パッケージをインストールする必要があります。
 Perl でプログラムを作成する場合や、システムを Perl スクリプトに対応できるようにする場合は、このパッケージをインストールしてください。
 このリリースで修正されたセキュリティ問題
 CVE-2010-2761 (1) 3.50 より前の CGI.pm および (2) CGI::Simple 1.112 以前の Simple.pm における multipart_init 関数は、multipart/x-mixed-replace コンテンツの MIME 境界文字列のハードコード値を使用します。これにより、リモートの攻撃者が、この値を含む細工された入力を介して、任意の HTTP ヘッダーを注入し、HTTP 応答分割攻撃を仕掛けることが可能です。これは、 とは別の脆弱性 CVE-2010-3172です。
 CVE-2010-4410 (1) 3.50 より前の CGI.pm および (2) CGI::Simple 1.112 以前の Simple.pm におけるヘッダー関数での CRLF インジェクションの脆弱性により、リモートの攻撃者が、任意の HTTP ヘッダーを注入し、HTTP 応答分割攻撃を介して HTTP 応答分割攻撃を仕掛けることが可能です。改行文字が先行する非空白文字に関連するベクトル。これは、 CVE-2010-2761 と CVE-2010-3172とは別の脆弱性です。
 CVE-2011-1487 Perl の (1) lc、(2) lcfirst、(3) uc、 (4) ucfirst 関数は 5.10.x、 、 5.11.x、[] 、 5.12.x から 5.12.3、[] から 5.13.x 、および 5.13.11から までの関数は、汚染された入力の処理時の戻り値に対する taint 属性により、コンテキスト依存の攻撃者が、細工された文字列によって taint 保護メカニズムをバイパスできる可能性があります。
 修正されたバグ:
 - Test::Harness ディストリビューションのバージョン 3.17 により、フォークベースのパラレルテストに対するサポートが削除され、「prove」はこのオプションをサポートしなくなりました。マニュアルページと prove の出力の両方が
 --help コマンドが更新され、使用可能なコマンドラインオプションのリストに --fork が含まれなくなりました。
 - パッケージエラーにより、perl パッケージに NDBM_File モジュールが含まれていませんでした。これは修正されました。
 - スレッドモジュールを使用する際、スレッドの継続作成および破壊により、Perl プログラムが多量のメモリを消費し、メモリを漏洩する可能性があります。これは修正されています。スレッドが破壊されたときに、メモリが解放されます。
 - ユーザーが cpan コマンドラインインターフェイスを開始し、CPAN からディストリビューションをダウンロードしようとすると、次のエラーメッセージが表示されます
 CPAN:Digest::SHA がインストールされていないため、チェックサムセキュリティチェックが無効になっています。Digest::SHA モジュールのインストールを考慮してください。
 これは、perl パッケージが Digest::SHA モジュールを依存関係として必要としないためです。spec ファイルが修正され、依存関係として perl-Digest-SHA パッケージが含まれ、このエラーは発生しなくなります。
 - スレッドモジュールで、シグナルハンドラーを指定しないスレッドにシグナルを送信すると、セグメンテーション違反のために、perl インタープリターが予期せず終了する可能性があります。スレッドモジュールが Upstream バージョン 1.82に更新されており、このバグが修正されています。

Tenableは、前述の記述ブロックをMiracleLinuxセキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://tsn.miraclelinux.com/en/node/2463

プラグインの詳細

深刻度: Critical

ID: 283989

ファイル名: miracle_linux_AXSA-2011-570.nasl

バージョン: 1.1

タイプ: local

公開日: 2026/1/14

更新日: 2026/1/14

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.2

Vendor

Vendor Severity: High

CVSS v2

リスクファクター: Medium

基本値: 5

現状値: 3.9

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N

CVSS スコアのソース: CVE-2011-1487

CVSS v3

リスクファクター: Critical

基本値: 10

現状値: 9

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

CVSS スコアのソース: CVE-2010-4410

脆弱性情報

CPE: p-cpe:/a:miracle:linux:perl-log-message-simple, p-cpe:/a:miracle:linux:perl-io-compress-base, p-cpe:/a:miracle:linux:perl-object-accessor, p-cpe:/a:miracle:linux:perl-extutils-parsexs, p-cpe:/a:miracle:linux:perl-pod-simple, p-cpe:/a:miracle:linux:perl-log-message, p-cpe:/a:miracle:linux:perl-test-harness, p-cpe:/a:miracle:linux:perl-term-ui, p-cpe:/a:miracle:linux:perl-module-build, p-cpe:/a:miracle:linux:perl-suidperl, p-cpe:/a:miracle:linux:perl-extutils-makemaker, p-cpe:/a:miracle:linux:perl-digest-sha, p-cpe:/a:miracle:linux:perl-file-fetch, p-cpe:/a:miracle:linux:perl-module-load, p-cpe:/a:miracle:linux:perl-cgi, p-cpe:/a:miracle:linux:perl, p-cpe:/a:miracle:linux:perl-ipc-cmd, p-cpe:/a:miracle:linux:perl-core, p-cpe:/a:miracle:linux:perl-locale-maketext-simple, p-cpe:/a:miracle:linux:perl-cpanplus, p-cpe:/a:miracle:linux:perl-archive-tar, cpe:/o:miracle:linux:4, p-cpe:/a:miracle:linux:perl-cpan, p-cpe:/a:miracle:linux:perl-pod-escapes, p-cpe:/a:miracle:linux:perl-test-simple, p-cpe:/a:miracle:linux:perl-time-piece, p-cpe:/a:miracle:linux:perl-params-check, p-cpe:/a:miracle:linux:perl-compress-raw-zlib, p-cpe:/a:miracle:linux:perl-module-pluggable, p-cpe:/a:miracle:linux:perl-libs, p-cpe:/a:miracle:linux:perl-io-zlib, p-cpe:/a:miracle:linux:perl-package-constants, p-cpe:/a:miracle:linux:perl-compress-zlib, p-cpe:/a:miracle:linux:perl-module-corelist, p-cpe:/a:miracle:linux:perl-extutils-embed, p-cpe:/a:miracle:linux:perl-module-loaded, p-cpe:/a:miracle:linux:perl-time-hires, p-cpe:/a:miracle:linux:perl-module-load-conditional, p-cpe:/a:miracle:linux:perl-extutils-cbuilder, p-cpe:/a:miracle:linux:perl-devel, p-cpe:/a:miracle:linux:perl-parent, p-cpe:/a:miracle:linux:perl-parse-cpan-meta, p-cpe:/a:miracle:linux:perl-archive-extract, p-cpe:/a:miracle:linux:perl-version, p-cpe:/a:miracle:linux:perl-io-compress-zlib

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2011/12/29

脆弱性公開日: 2010/8/19

参照情報

CVE: CVE-2010-2761, CVE-2010-4410, CVE-2011-1487