MiracleLinux 4libguestfs-1.20.11-2.0.1.AXS4AXSA:2014-288:02
high Nessus プラグイン ID 289866
Language:
概要
リモートのMiracleLinuxホストにセキュリティ更新プログラムがありません。説明
リモートの MiracleLinux 4 ホストには、AXSA:2014-288:02 アドバイザリで言及されている脆弱性の影響を受けるパッケージがインストールされています。Libguestfs は、ゲストディスクイメージにアクセスし変更するためのライブラリです。これが良いでしょう。ゲストに対するバッチ構成変更の実行、ディスクの使用済み/解放の統計の取得virt-dfも参照、仮想化システム間の移行virt-p2v も参照、部分的バックアップの実行、部分的なゲストの実行。クローン、ゲストのクローン、レジストリ/UUID/ホスト名情報の変更、その他多数を行います。
Libguestfs は、Linux カーネルと qemu コードを使用し、Linux と qemu がアクセスできるあらゆるタイプのゲストファイルシステムにアクセスできます。ext2/3/4、btrfs、FAT と NTFS、LVM、多くの異なるディスクパーティションスキーム、qcow、 qcow2、vmdk。
Libguestfs は、ゲストストレージを列挙する方法を提供しますパーティション、LV、各 LV にあるファイルシステムなど。ゲストのコンテキストでコマンドを実行することもできます。
Libguestfs は、C および C++ 管理プログラムとリンクできるライブラリです。
高レベルの virt ツール、guestfishシェルスクリプティングとコマンドラインアクセス、および guestmountFUSE を使用してゲストファイルシステムをマウントの場合は、「libguestfs-tools」をインストールしてください。
シェルスクリプティングおよびコマンドラインアクセスの場合は、「guestfish」をインストールしてください。
FUSE を使用してホストにゲストファイルシステムをマウントするには、「libguestfs-mount」をインストールしてください。
Java バインディングの場合は、「libguestfs-java-devel」をインストールしてください。
OCaml バインディングの場合は、「ocaml-libguestfs-devel」をインストールしてください。
Perl バインディングの場合は、「perl-Sys-Guestfs」をインストールしてください。
Python バインディングの場合は、「python-libguestfs」をインストールしてください。
Ruby バインディングの場合は、「ruby-libguestfs」をインストールしてください。
このリリースで修正されたセキュリティ問題
CVE-2013-4419 libguestfs 1.20.12、 1.22.7、およびそれ以前の guestfish コマンドは、 --remote または --listen オプションを使用する際、このディレクトリに一時ソケットファイルを作成する際に、/tmp/.guestfish-$UID/ の所有権を適切にチェックしません。 、これにより、ローカルユーザーは、事前に /tmp/.guestfish-$UID/ を作成することで、ソケットに書き込み、任意のコマンドを実行できます。
修正されたバグ:
buildnet を削除しましたビルドは現在、ネットワークを自動的に検出します。
新しい API の part-get-gpt-type および part-set-gpt-type がバックポートされました。特定のゲストファイル/イメージを検査する際の二重解放の欠陥による DoS中止を修正しました。
以前は、libguestfs は、デフォルトではない systemroot パスを使用する MS Windows ゲストの検出に失敗していました。これは修正されています。現在は、boot.ini ファイルを使用して systemroot パスを検索します。
バック状態コマンドを guestfish に追加しました。
以前は、ターゲットサイズが指定されない場合、ntfsresize は失敗しました。これは修正され、現在は libguestfs はターゲットストレージデバイスのサイズを自動的に確立します。
txz-out API を修正しました。
virt-sysprep が libguestfs-tools-c パッケージに移動されました。これは、これがシェルスクリプトではなくなっているためです。
ホスト名検査を修正しましたAugeas パス式のため障害のある状態でした。以前は、Rive 追加するときに iface パラメーターを使用すると、libguestfs が無限ループに入りました。これは修正されました。
Windows ディスクイメージのサイズ変更に関する注記を virt-resize ドキュメントに追加しました。lsscsi への依存関係を削除しました。
いくつかのリポジトリがある場合でも機能するように yum キャッシュコピーを修正しました。
hivex-commit API を修正しており、相対パスでエラーが発生するようにします。
ファイルシステムが利用可能な API のドキュメントを改善しました。
起動中にカーネルリンクが失敗する際の二重解放を修正しました。virt-sysprep --firstboot オプションを修正しました。
cap-get-file を修正し、cap がない場合にエラーの代わりに空の文字列を返すようにします。
acl-set-file のドキュメントを改善しました。
guestfish を使用する際の偽造 waitpid エラーメッセージを修正しました --remote。
9p サポートを無効化
guestfish --remote が特定のその他の引数では動作しないことを文書化しました。
以前は、重負荷の場合、デバッグ出力にメッセージが表示されました。 libguestfs は、kvmclock カーネル機能が有効であるかどうかをチェックするようになり、出力が削減されました。
以前は、guestfs_sh または sh コマンドを実行する前にファイルシステムがマウントされていない場合、guestfish ユーティリティがセグメンテーション違反でクラッシュしていました。guestfish にチェックが追加され、ファイルシステムがマウントされていない場合にエラーメッセージを報告するようになりました。
tar-out「excludes」に対してさまざまな修正を追加。
glob + rsync-out の使用を文書化。
mke2fs ブロックカウントを文書化。
Tenableは、前述の記述ブロックをMiracleLinuxセキュリティアドバイザリから直接抽出しています。
Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受けるパッケージを更新してください。参考資料
プラグインの詳細
深刻度: High
ID: 289866
ファイル名: miracle_linux_AXSA-2014-288.nasl
バージョン: 1.1
タイプ: local
公開日: 2026/1/16
更新日: 2026/1/16
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
Vendor
Vendor Severity: High
CVSS v2
リスクファクター: Medium
基本値: 6.8
現状値: 5
ベクトル: CVSS2#AV:A/AC:H/Au:N/C:C/I:C/A:C
CVSS スコアのソース: CVE-2013-4419
CVSS v3
リスクファクター: High
基本値: 7.8
現状値: 6.8
ベクトル: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:miracle:linux:libguestfs-java, p-cpe:/a:miracle:linux:libguestfs-tools, p-cpe:/a:miracle:linux:libguestfs-tools-c, p-cpe:/a:miracle:linux:perl-sys-guestfs, cpe:/o:miracle:linux:4, p-cpe:/a:miracle:linux:python-libguestfs, p-cpe:/a:miracle:linux:libguestfs
必要な KB アイテム: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2014/5/5
脆弱性公開日: 2013/10/9
参照情報
CVE: CVE-2013-4419