検出

MiracleLinux 4glibc-2.12-1.132.AXS4AXSA:2014-073:01

high Nessus プラグイン ID 289561

Language:

概要

リモートのMiracleLinuxホストに1つ以上のセキュリティ更新プログラムがありません。

説明

リモートの MiracleLinux 4 ホストには、AXSA:2014-073:01 アドバイザリで言及されているように、複数の脆弱性の影響を受けるパッケージがインストールされています。

 glibc パッケージには、システム上の複数のプログラムで使用される標準ライブラリが含まれています。ディスクの容量とメモリを節約し、アップグレードを簡単にするために、共通のシステムコードは 1 か所にまとめてプログラム間で共有されます。この特定のパッケージには、標準 C ライブラリおよび標準 math ライブラリの最も重要な共有ライブラリのセットが含まれています。これら2 つのライブラリがない場合、Linux システムは機能しません。
 このリリースで修正されたセキュリティ問題
 CVE-2013-0242 glibc の正規表現の matcherposix/regexec.cにおける extend_buffers 関数のバッファオーバーフロー。おそらく 2.17 以前です。これにより、コンテキスト依存の攻撃者は、細工されたマルチバイト文字を介してサービス拒否メモリ破損およびクラッシュを引き起こすことができます。 。
 CVE-2013-1914 GNU C ライブラリglibc または libc6 2.17 以前の sysdeps/posix/getaddrinfo.c の getaddrinfo 関数にあるスタックベースのバッファオーバーフローにより、リモートの攻撃者が (1)多数のドメイン変換結果を発生させるホスト名または (2) IP アドレス。
 CVE-2013-43322.18 GNU C ライブラリ別名 glibc または libc6の malloc/malloc.c における複数の整数オーバーフローにより、コンテキスト依存の攻撃者が、(1) に対する大きな値を介して、サービス拒否ヒープ破損を引き起こす可能性があります。 pvalloc、(2) valloc、(3) posix_memalign、(4) memalign または (5) aligned_alloc の関数を使用します。
 修正されたバグ:
 getaddrinfo() システムコールの初期リリースの不具合により、AF_INET および AF_INET6 クエリが、/etc/hosts ファイルから照会された名前を正準名として返していました。この動作は正しくありませんが、想定された動作です。ただし、getaddrinfo() 関数の後の変更により、AF_INET6 クエリが正準名を正しく返すようになりました。これは、/etc/hosts ファイルからのクエリに依存するアプリケーションでは予期せず、適切に動作しない可能性があります。この更新は、/etc/hosts から解決された AF_INET6 クエリが常に名前を正準で返すようにしています。標準が確立されるときに適切なパッチが発行される可能性があります。現在は、/etc/hosts ファイルの最初のエントリを正規エントリと見なす必要があります。
 以前は、AF_UNSPEC アドレスファミリーを使用してアドレスをクエリする際に、IPv4 と IPv6 の両方の結果が存在していても、nscd は IPv4 と IPv6 の両方を返すことに失敗することがありました。これは修正されました。

Tenableは、前述の記述ブロックをMiracleLinuxセキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://tsn.miraclelinux.com/en/node/4507

プラグインの詳細

深刻度: High

ID: 289561

ファイル名: miracle_linux_AXSA-2014-073.nasl

バージョン: 1.1

タイプ: local

公開日: 2026/1/16

更新日: 2026/1/16

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

Vendor

Vendor Severity: High

CVSS v2

リスクファクター: Medium

基本値: 5

現状値: 3.9

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P

CVSS スコアのソース: CVE-2013-1914

CVSS v3

リスクファクター: High

基本値: 7.5

現状値: 6.7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:miracle:linux:glibc-devel, p-cpe:/a:miracle:linux:glibc-utils, p-cpe:/a:miracle:linux:glibc, p-cpe:/a:miracle:linux:nscd, cpe:/o:miracle:linux:4, p-cpe:/a:miracle:linux:glibc-headers, p-cpe:/a:miracle:linux:glibc-common

必要な KB アイテム: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2014/3/18

脆弱性公開日: 2013/1/30

参照情報

CVE: CVE-2013-0242, CVE-2013-1914, CVE-2013-4332