検出

MiracleLinux 4sssd-1.9.2-82.4.AXS4AXSA:2013-386:01

high Nessus プラグイン ID 289831

Language:

概要

リモートのMiracleLinuxホストに1つ以上のセキュリティ更新プログラムがありません。

説明

リモートの MiracleLinux 4 ホストには、AXSA:2013-386:01 アドバイザリで言及されているように、複数の脆弱性の影響を受けるパッケージがインストールされています。

 リモートディレクトリおよび認証機構へのアクセスを管理するための一連のデーモンが提供されます。システムに向けた NSS および PAM インターフェース、ならびに複数の異なるアカウントソースに接続するためのプラグ可能バックエンドシステムを提供します。これはまた、FreeIPA のようなプロジェクトにクライアント監査とポリシーサービスを提供するための基準でもあります。
 このリリースで修正されたセキュリティ問題
 CVE-2013-02191.9.4より前のシステムセキュリティサービスデーモンSSSDでは、ユーザーホームディレクトリツリーを1作成、2コピー、3削除する場合、ローカルユーザーがシンボリックリンクを介して任意のファイルを作成、変更、削除できます。別のユーザーのファイルへの攻撃。
 CVE-2013-02201.9.4 より前の システムセキュリティサービスデーモンSSSDにおける (1) sss_autofs_cmd_getautomntent および (2) sss_autofs_cmd_getautomntbyname 関数、および (3) より前のシステムセキュリティサービスデーモンSSSDの sender/ssh/sshsrv_cmd.c の ssh_cmd_parse_request 関数により、リモートの攻撃者は許可を取得できます。細工された SSSD パケットを介して、サービス拒否領域外読み取り、クラッシュ、再起動を引き起こすことができます。
 CVE-2013-0287 System Security Services DaemonSSSDの Simple Access Provider 1.9.0 から 1.9.4は、Active Directory プロバイダーが使用されている時、simple_deny_groups オプションを適切に実施しません。これにより、認証されたリモートユーザーが、意図されたアクセス制限をバイパスする可能性があります。
 修正されたバグ:
 識別名DNが構成された検索ベースのいずれかを指摘するメンバーの場合の検索遅延を修正。
 誤って 0 に設定されていた Kerberos の pwd_expiration_warning を修正しました。

Tenableは、前述の記述ブロックをMiracleLinuxセキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://tsn.miraclelinux.com/en/node/4036

プラグインの詳細

深刻度: High

ID: 289831

ファイル名: miracle_linux_AXSA-2013-386.nasl

バージョン: 1.1

タイプ: local

公開日: 2026/1/16

更新日: 2026/1/16

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.2

Vendor

Vendor Severity: High

CVSS v2

リスクファクター: Medium

基本値: 4.9

現状値: 3.6

ベクトル: CVSS2#AV:N/AC:M/Au:S/C:P/I:P/A:N

CVSS スコアのソース: CVE-2013-0287

CVSS v3

リスクファクター: High

基本値: 7.5

現状値: 6.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

CVSS スコアのソース: CVE-2013-0220

脆弱性情報

CPE: p-cpe:/a:miracle:linux:libipa_hbac-python, p-cpe:/a:miracle:linux:libsss_autofs, p-cpe:/a:miracle:linux:sssd, p-cpe:/a:miracle:linux:libsss_idmap, p-cpe:/a:miracle:linux:sssd-client, p-cpe:/a:miracle:linux:libipa_hbac, p-cpe:/a:miracle:linux:libsss_sudo, cpe:/o:miracle:linux:4

必要な KB アイテム: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2013/4/12

脆弱性公開日: 2013/1/24

参照情報

CVE: CVE-2013-0219, CVE-2013-0220, CVE-2013-0287