MiracleLinux 7autofs-5.0.7-54.el7AXSA:2015-744:01
high Nessus プラグイン ID 290094
Language:
概要
リモートのMiracleLinuxホストにセキュリティ更新プログラムがありません。説明
リモートのMiracleLinux 7ホストには、AXSA:2015-744:01アドバイザリに記載された脆弱性の影響を受けるパッケージがインストールされています。autofs は、ファイルシステムを使用するときに自動的にマウントし、使用していないときに後でアンマウントできるデーモンです。これには、ネットワークファイルシステム、CD-ROM、フロッピーなどが含まれます。
このリリースで修正されたセキュリティ問題
CVE-2014-8169 automount 5.0.8は、プログラムマップが特定の解釈言語を使用するとき、マップされたプログラムを実行するために使用するユーザーの値ではなく、呼び出しユーザーの USER と HOME 環境変数の値を使用します。これにより、ローカルユーザーがトロイの木馬によって権限を取得することができますユーザーのホームディレクトリにあることができます。
修正されたバグ:
* ls * コマンドを間接マウントの root で実行すると、autofs がワイルドカードの文字*をそのままマウントしようとするため、この文字がネガティブキャッシュに追加される可能性があります。有効なマウントの前にこれが実行されると、 autofs は有効かどうかに関わらず、マウントポイント内でさらなるマウントの試行に失敗しました。これは修正され、ワイルドカードマップエントリは上述の状況で機能するようになりました。
* autofs がマルチマップエントリの重複するエントリで構成される構文エラーに遭遇すると、エラーを報告し、マップエントリをマウントしませんでした。この更新により、autofs はログの問題を報告してシステム管理者に警告し、失敗せずに重複エントリの最後にチェックしたインスタンスを使用するように修正されました。
* ldap および sss 検索モジュールにおいて、関数を読み込むマップは、エントリが見つからないおよびサービスが利用できないエラーを区別していませんでした。その結果、サービスが使用できない応答がマスターマップ読み取りから返された場合、autofs はマウントを更新しませんでした。見つからないエントリの戻り値がマップ更新を妨げないため、ldap および sss 検索モジュールが更新され、これら 2 つの戻り値を区別するために変更され、現在は想定通りに機能しています。
強化:
* 構成パラメーターである map_hash_table_size の説明が autofs.conf(5) の man ページから欠如しており、構成ファイルのコメントにおける説明も不十分でした。パラメーターの説明が autofs.conf(5) に追加され、構成ファイルのコメントが更新されました。
Tenableは、前述の記述ブロックをMiracleLinuxセキュリティアドバイザリから直接抽出しています。
Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受けた autofs パッケージを更新してください。参考資料
プラグインの詳細
深刻度: High
ID: 290094
ファイル名: miracle_linux_AXSA-2015-744.nasl
バージョン: 1.1
タイプ: local
公開日: 2026/1/16
更新日: 2026/1/16
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
Vendor
Vendor Severity: Moderate
CVSS v2
リスクファクター: Medium
基本値: 4.4
現状値: 3.3
ベクトル: CVSS2#AV:L/AC:M/Au:N/C:P/I:P/A:P
CVSS スコアのソース: CVE-2014-8169
CVSS v3
リスクファクター: High
基本値: 7.8
現状値: 6.8
ベクトル: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: cpe:/o:miracle:linux:7, p-cpe:/a:miracle:linux:autofs
必要な KB アイテム: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2015/11/24
脆弱性公開日: 2015/2/13
参照情報
CVE: CVE-2014-8169