検出

MiracleLinux 3tcl-8.4.13-6.AXS3AXSA:2013-11:01

critical Nessus プラグイン ID 289759

Language:

概要

リモートのMiracleLinuxホストに1つ以上のセキュリティ更新プログラムがありません。

説明

リモートの MiracleLinux 3 ホストには、AXSA:2013-11:01 アドバイザリで言及されているように、複数の脆弱性の影響を受けるパッケージがインストールされています。

 Tcl (Tool Command Language) は、多様なアプリケーション、プロトコル、デバイス、およびフレームワークを結び付ける統合アプリケーションを作成するための強力なプラットフォームを提供します。Tk ツールキットと併用される場合、Tcl はクロスプラットフォーム GUI アプリケーションを作成するための最速で強力な方法を提供します。Tcl は、さまざまな Web 関連のタスクや、アプリケーション用の強力なコマンド言語を作成するためにも使用できます。
 このリリースで修正されたセキュリティ問題
 CVE-2007-4772 より前の TCL、 8.4.17より前の 8.2.68.2 、 8.18.1.11] より前の 、 8.08.0.15より前の 7.4 ] の PostgreSQL で使用される より前の 7.4.19TCLの正規表現パーサーにより、コンテキスト依存の攻撃者が拒否を引き起こす可能性があります。サービス拒否無限ループを引き起こす可能性があります。
 CVE-2007-6067 より前の TCL、 8.4.17より前の 8.2.68.2 、 より前の 8.1.118.1 、 8.0 より前の 8.0.15] の PostgreSQL で使用されているように、 7.47.4.19より前の TCL の正規表現パーサーにあるアルゴリズム複雑性の脆弱性により、認証されたリモートユーザーが二重にネストされた状態を持つ細工された複雑な正規表現を通じて、サービス拒否メモリ消費を引き起こすことが可能です。
 修正済みバグ
 現在の状態では、tcl はフォークとともに使用される場合、スレッドをサポートしません。一時的な回避策として、この更新では tcl の 2 つのバージョンを提供しています。1 つはスレッドをサポートする標準バージョンで、もう 1 つはスレッドサポートなしのバージョンです。fork が必要だがスクリプトにスレッドが不要なユーザーは、alternatives コマンドを使用して、スレッドのサポートなしで tcl を使用できます。

Tenableは、前述の記述ブロックをMiracleLinuxセキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受けるtcl、tcl-devel、tcl-htmlパッケージを更新してください。

参考資料

https://tsn.miraclelinux.com/en/node/3632

プラグインの詳細

深刻度: Critical

ID: 289759

ファイル名: miracle_linux_AXSA-2013-11.nasl

バージョン: 1.1

タイプ: local

公開日: 2026/1/16

更新日: 2026/1/16

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: High

スコア: 7.3

Vendor

Vendor Severity: High

CVSS v2

リスクファクター: Medium

基本値: 6.8

現状値: 5.3

ベクトル: CVSS2#AV:N/AC:L/Au:S/C:N/I:N/A:C

CVSS スコアのソース: CVE-2007-6067

CVSS v3

リスクファクター: Critical

基本値: 10

現状値: 9

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: cpe:/o:miracle:linux:3, p-cpe:/a:miracle:linux:tcl, p-cpe:/a:miracle:linux:tcl-devel, p-cpe:/a:miracle:linux:tcl-html

必要な KB アイテム: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2013/1/14

脆弱性公開日: 2008/1/7

参照情報

CVE: CVE-2007-4772, CVE-2007-6067