検出

MiracleLinux 4cups-1.4.2-67.0.1.AXS4AXSA:2014-674:02

medium Nessus プラグイン ID 289862

Language:

概要

リモートのMiracleLinuxホストに1つ以上のセキュリティ更新プログラムがありません。

説明

リモートの MiracleLinux 4 ホストには、AXSA:2014-674:02 アドバイザリに記載されているように、複数の脆弱性の影響を受けるパッケージがインストールされています。

 説明:
 Common UNIX Printing System は、UNIX オペレーティングシステム用のポータブルプリントレイヤーを提供します。これは、すべての UNIX ベンダーとユーザーに標準的な印刷ソリューションを提供することを目的として、Easy Software Products によって開発されました。
 CUPS は、System V および Berkeley コマンドラインインターフェースを提供します。
 このリリースで修正されたセキュリティ問題
 1.7.2CVE-2014-2856 Common Unix Printing SystemCUPSにおいてscheduler/client.c でのクロスサイトスクリプティングXSSの脆弱性により、リモートの攻撃者は、URL パスを通じて、任意の Web スクリプトまたは HTML を注入することができます。これは、is_path_absolute 関数に関連しています。
 CVE-2014-35371.7.4 以前の CUPS の Web インターフェイスでは、lp グループのローカルユーザーが、/var/cache/cups/rss/ 内のファイルへのシンボリックリンク攻撃から任意のファイルを読み取ることができます。
 CVE-2014-5029 CUPS 1.7.4 の Web インターフェイスにより、lp グループのローカルユーザーが、/var/cache/cups/rss/ および null に設定された言語[0] 内のファイルへのシンボリックリンク攻撃から、任意のファイルを読み取ることができます。注:この脆弱性は、CVE-2014-3537の修正が不完全なために存在します。
 CVE-2014-50302.0 より前の CUPS では、ローカルユーザーが (1) index.html、(2) index.class、(3) index.pl、(4) index.php、(5) index に対するシンボリックリンク攻撃を通じて、任意のファイルを読み込み可能です。 .pyc、または (6) index.py。
 CVE-2014-50312.0 以前の CUPS の Web インターフェイスは、ファイルに誰でも読み取れる権限があるかどうかをチェックしません。これにより、リモートの攻撃者が、詳細不明なベクトルを通じて、機密情報を取得することができます。
 修正されたバグ:
 これらの更新済みの cupsパッケージには、いくつかのバグ修正も含まれています。
 詳細は、変更ログを参照してください。

Tenableは、前述の記述ブロックをMiracleLinuxセキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://tsn.miraclelinux.com/en/node/5134

プラグインの詳細

深刻度: Medium

ID: 289862

ファイル名: miracle_linux_AXSA-2014-674.nasl

バージョン: 1.1

タイプ: local

公開日: 2026/1/16

更新日: 2026/1/16

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

Vendor

Vendor Severity: Moderate

CVSS v2

リスクファクター: Medium

基本値: 5

現状値: 3.7

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N

CVSS スコアのソース: CVE-2014-5031

CVSS v3

リスクファクター: Medium

基本値: 6.1

現状値: 5.3

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

CVSS スコアのソース: CVE-2014-2856

脆弱性情報

CPE: p-cpe:/a:miracle:linux:cups-devel, p-cpe:/a:miracle:linux:cups, p-cpe:/a:miracle:linux:cups-lpd, cpe:/o:miracle:linux:4, p-cpe:/a:miracle:linux:cups-libs

必要な KB アイテム: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2014/11/4

脆弱性公開日: 2014/1/30

参照情報

CVE: CVE-2014-2856, CVE-2014-3537, CVE-2014-5029, CVE-2014-5030, CVE-2014-5031