MiracleLinux 7binutils-2.23.52.0.1-55.el7AXSA:2015-717:01
high Nessus プラグイン ID 288890
Language:
概要
リモートのMiracleLinuxホストに1つ以上のセキュリティ更新プログラムがありません。説明
リモートの MiracleLinux 7 ホストには、AXSA:2015-717:01 アドバイザリで言及されているように、複数の脆弱性の影響を受けるパッケージがインストールされています。Binutils は、バイナリユーティリティのコレクションです。これには、アーカイブからの作成、変更、抽出用、asGNU アセンブラのファミリー、gprofコールグラフプロファイルデータ表示用、ldGNU リンカー、nm 用の が含まれます。オブジェクトファイルからのシンボルのリスティング、objcopyオブジェクトファイルのコピーと変換用、objdumpオブジェクトファイルからの情報表示用、ranlibアーカイブのコンテンツのインデックスを生成用、readelfバイナリファイルに関する詳細情報を表示用、size (オブジェクトまたはアーカイブファイルのセクションサイズをリストするため)、strings (ファイルから印刷可能な文字列をリストするため)、strip (シンボルを破棄するため)、および addr2line (ファイルおよび行へのアドレスを変換するため) を定義できます。
このリリースで修正されたセキュリティ問題
CVE-2014-84842.25 GNU binutils より前の libdbfd の bfd/srec.c にある srec_scan 関数により、リモートの攻撃者は、小さな S レコードを介してサービス拒否領域外読み取りを引き起こすことができます。
CVE-2014-8485 GNU binutils 2.24 およびそれ以前の libbfd の bfd/elf.c にある setup_group 関数により、リモートの攻撃者がサービス拒否クラッシュを引き起こすことができ、ELF ファイルの細工されたセクショングループヘッダーを介して任意のコードを実行する可能性があります。
CVE-2014-8501 GNU binutils 2.24 以前において bfd/peXXigen.c にある _bfd_XXi_swap_aouthdr_in 関数により、リモートの攻撃者がサービス拒否領域外書き込みを引き起こすことができます。また、AOUT ヘッダーの細工された NumberOfRvaAndSizes フィールドを介して他の不特定の影響を及ぼす可能性があります。 PE 実行可能ファイルでの。
CVE-2014-8502 GNU binutils 2.24 以前において、bfd/peXXigen.c にある pe_print_edata 関数のヒープベースのバッファオーバーフローにより、リモートの攻撃者がサービス拒否クラッシュを引き起こすことができます。また、PE にある切り捨てられたエクスポートテーブルを介して他の不特定の影響を及ぼす可能性があります。ファイルです。
CVE-2014-8503 ] GNU binutils 2.24 以前の bfd/ihex.c の ihex_scan 関数のスタックベースのバッファオーバーフローにより、リモートの攻撃者がサービス拒否クラッシュを引き起こしたり、細工された ihex ファイルで他の詳細不明な影響を及ぼす可能性があります。
CVE-2014-8504 ] GNU binutils 2.24 以前の bfd/srec.c の srec_scan 関数にあるスタックベースのバッファオーバーフローにより、リモートの攻撃者がサービス拒否クラッシュを引き起こすことができます。また、細工されたファイルを介して他の不特定の影響を及ぼす可能性があります。
CVE-2014-8737 GNU binutils 2.24 以前にある複数のディレクトリトラバーサルの脆弱性により、ローカルユーザーが ..ドットドットまたはアーカイブのフルパス名を使用して任意のファイルを削除でき、 (3) ar へのアーカイブの .. (ドットドット) またはフルパス名。
CVE-2014-8738 GNU binutils 2.24 およびそれ以前における bfd/archive.c の _bfd_slurp_extended_name_table 関数により、アーカイブの細工され拡張された名前テーブルを介して、リモートの攻撃者がサービス拒否無効な書き込み、セグメンテーション違反、およびクラッシュを引き起こす可能性があります。
修正されたバグ:
* システムローダーにより開始されたバイナリファイルは、アプリケーションがビルドされる際に明示的に要求されているにもかかわらず Relocation Read-Only(RELRO)保護が欠如しています。このバグは複数のアーキテクチャで修正されています。この不具合を修正するため、binutils の alpha または beta バージョンでビルドされたアプリケーションおよびすべての依存するオブジェクトファイル、アーカイブ、およびライブラリをリビルドする必要があります。
* 64 ビットの PowerPC 上の Id リンカーは現在、PowerPC 以外の形式でバイナリの生成が要求されると、出力形式を正しくチェックするようになりました。
* デバッグされるバイナリに対する symbol テーブルを保留する重要な変数が恒久化され、64 ビットの PowerPC の objdump ユーティリティが無効なメモリ領域を読み取らずに必要な情報へアクセスできるようになりました。
* RHBA-2015:0974 に記述される好ましくないランタイムリロケーション。
強化:
* IBM z Systems z13 の新しいハードウェア命令がアセンブラ、逆アセンブラ、リンカーでサポートされ、Single Instruction Multiple Data(SIMD)命令もサポートされるようになりました。
* 形式の表現式 FUNC 関数のローカルエントリポイントを参照する FUNC@localentry 定義されている場合は現在、PowerPC アセンブラーでサポートされています。これらは、IBM Power System の little-endian 変種上で ELFv2 ABI により要求されます。
Tenableは、前述の記述ブロックをMiracleLinuxセキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受ける binutil または binutils-devel パッケージ (またはその両方) を更新してください。参考資料
プラグインの詳細
深刻度: High
ID: 288890
ファイル名: miracle_linux_AXSA-2015-717.nasl
バージョン: 1.1
タイプ: local
公開日: 2026/1/16
更新日: 2026/1/16
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
Vendor
Vendor Severity: Moderate
CVSS v2
リスクファクター: High
基本値: 7.5
現状値: 5.9
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS スコアのソース: CVE-2014-8504
CVSS v3
リスクファクター: High
基本値: 7.8
現状値: 7
ベクトル: CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
CVSS スコアのソース: CVE-2014-8501
脆弱性情報
CPE: cpe:/o:miracle:linux:7, p-cpe:/a:miracle:linux:binutils, p-cpe:/a:miracle:linux:binutils-devel
必要な KB アイテム: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2015/11/24
脆弱性公開日: 2014/10/23
参照情報
CVE: CVE-2014-8484, CVE-2014-8485, CVE-2014-8501, CVE-2014-8502, CVE-2014-8503, CVE-2014-8504, CVE-2014-8737, CVE-2014-8738