MiracleLinux 4kernel-2.6.32-431.20.3.el6AXSA:2014-454:03
high Nessus プラグイン ID 291494
Language:
概要
リモートのMiracleLinuxホストに1つ以上のセキュリティ更新プログラムがありません。説明
リモートの MiracleLinux 4 ホストには、AXSA:2014-454:03 アドバイザリに記載されているように、複数の脆弱性の影響を受けるパッケージがインストールされています。カーネルパッケージには、Linux カーネルvmlinuzが含まれています。これは、Linux オペレーティングシステムのコアです。カーネルは、メモリ割り当て、プロセス割り当て、デバイスの入出力などのオペレーティングシステムの基本機能を処理します。
このリリースで修正されたセキュリティ問題
CVE-2013-63783.12.1 までの Linux カーネルにおいて、drivers/net/wireless/libertas/debugfs.c 内の lbs_debugfs_write 関数により、ローカルユーザーは、root 権限を利用してゼロレングスの書き込み操作を行うことで、サービス拒否OOPSを引き起こすことができます。
CVE-2014-02032.6.33 以前の Linux カーネルの fs/namei.c の __do_follow_link 関数が、特定のファイルシステムを使用している際に、最後のパス名コンポーネントを適切に処理しません。これにより、ローカルユーザーが、サービス拒否不適切な解放操作とシステムクラッシュを引き起こすことが可能です。オープンシステムコールを介して。
CVE-2014-1737 FDRAWCMD ioctl 呼び出しの処理中、 3.14.3 までの Linux カーネルにおいて、drivers/block/floppy.c 内の raw_cmd_copyin 関数はエラーを適切に処理しません。これにより、ローカルユーザーは kfree 操作をトリガーし、 への書き込みアクセスを利用して権限を取得することができます。 /dev/fd デバイス
CVE-2014-1738 FDRAWCMD ioctl 呼び出しの処理中、 3.14.3 までの Linux カーネルにおいて、drivers/block/floppy.c 内の raw_cmd_copyout 関数は/dev/fd デバイスへの書き込みアクセス。
CVE-2014-18743.13.4 Linuxカーネル より前の security/selinux/ss/services.c の security_context_to_sid_core 関数により、CAP_MAC_ADMIN 機能を利用して、ゼロレングスセキュリティコンテキストを設定することで、ローカルユーザーがサービス拒否システムクラッシュを引き起こす可能性があります。
CVE-2014-2039 s390 プラットフォーム上の 3.13.5 より前の Linux カーネルの arch/s390/kernel/head64.S が、リンケージスタックの使用試行を適切に処理しません。これにより、ローカルユーザーが、細工された命令 CVE-2014-31533.14.5 までの Linux カーネルにおける kernel/futex.c の futex_requeue 関数は、呼び出しに 2 つの異なる futex アドレスがあることを確認しません。このため、安全でない waiter 変更を容易にするよう細工された FUTEX_REQUEUE コマンドを通じて、ローカルユーザーは権限を取得できます。
修正されたバグ:
この更新は、いくつかのバグも修正します。
Tenableは、前述の記述ブロックをMiracleLinuxセキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受けるパッケージを更新してください。参考資料
プラグインの詳細
深刻度: High
ID: 291494
ファイル名: miracle_linux_AXSA-2014-454.nasl
バージョン: 1.2
タイプ: local
公開日: 2026/1/19
更新日: 2026/2/5
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Critical
スコア: 9.7
Vendor
Vendor Severity: Moderate
CVSS v2
リスクファクター: High
基本値: 7.2
現状値: 6.3
ベクトル: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C
CVSS スコアのソース: CVE-2014-3153
CVSS v3
リスクファクター: High
基本値: 7.8
現状値: 7.5
ベクトル: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:H/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:miracle:linux:kernel-debug, p-cpe:/a:miracle:linux:kernel-debug-devel, p-cpe:/a:miracle:linux:perf, cpe:/o:miracle:linux:4, p-cpe:/a:miracle:linux:kernel-headers, p-cpe:/a:miracle:linux:kernel-firmware, p-cpe:/a:miracle:linux:kernel, p-cpe:/a:miracle:linux:kernel-devel, p-cpe:/a:miracle:linux:kernel-abi-whitelists
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2014/7/17
脆弱性公開日: 2013/11/22
CISA の既知の悪用された脆弱性の期限日: 2022/6/15
エクスプロイト可能
CANVAS (CANVAS)
Core Impact
Metasploit (Android Towelroot Futex Requeue Kernel Exploit)
参照情報
CVE: CVE-2013-6378, CVE-2014-0203, CVE-2014-1737, CVE-2014-1738, CVE-2014-1874, CVE-2014-2039, CVE-2014-3153