Oracle Linux 4:bash(ELSA-2011-0261)
medium Nessus プラグイン ID 68202
Language:
概要
リモート Oracle Linux ホストにセキュリティ更新がありません。説明
Red Hat セキュリティアドバイザリ 2011:0261 から:1 つのセキュリティ問題と複数のバグを修正する、更新済みの bash パッケージが、Red Hat Enterprise Linux 4 で現在利用可能です。
Red Hat セキュリティレスポンスチームは、この更新によるセキュリティ上の影響は小さいと評価しています。詳細な重要度評価を示す Common Vulnerability Scoring System(CVSS)ベーススコアは「参照」セクションの CVE リンクで入手できます。
Bash(Bourne-again shell)は、Red Hat Enterprise Linux のデフォルトシェルです。
Bash ドキュメントとバンドルされる特定のスクリプトによって、安全でない方法で一時ファイルが作成されることが判明しました。悪意のあるローカルユーザーがこの欠陥を悪用して、シンボリックリンク攻撃を仕掛けることが可能でした。これにより、スクリプトを実行する被害者がアクセスできる任意のファイルのコンテンツを上書きすることが可能でした。(CVE-2008-5374)
この更新は以下のバグも修正します:
* 子プロセスの PID が過去に終了した子プロセスの PID と同じだった場合、Bash はその子プロセスを待機しませんでした。一部のケースでは、これは「Resource temporarily unavailable」エラーの原因になりました。この更新では、 Bash は PID をリサイクルし、リサイクルされた PID でプロセスを待機します。
(BZ#521134)
* 入力なしにより「read」が失敗した場合、Bash のビルトイン「read」コマンドにメモリリークが発生しました(stdin に対するパイプ)。この更新で、メモリは正しく解放されるようになりました。(BZ#537029)
* IFS 値を設定したとき、Bash は有効なマルチバイト文字列を正しくチェックしませんでした。これは Bash がクラッシュする原因になりました。この更新で、 Bash はマルチバイト文字列をチェックし、クラッシュは発生しません。(BZ#539536)
* ビルトイン「export」コマンドを使用し、ロケールを同じ行に設定した場合(例:「LC_ALL=C export LC_ALL」)、Bash によるロケール設定が正しくありませんでした。この更新で、 Bash によるロケール設定は正しくなりました。(BZ#539538)
bash の全ユーザーは、バックポートされたパッチが含まれるこれらの更新済みパッケージへアップグレードし、これらの問題を修正する必要があります。
ソリューション
影響を受ける bash パッケージを更新してください。参考資料
https://oss.oracle.com/pipermail/el-errata/2011-February/001947.html
プラグインの詳細
深刻度: Medium
ID: 68202
ファイル名: oraclelinux_ELSA-2011-0261.nasl
バージョン: 1.9
タイプ: local
エージェント: unix
公開日: 2013/7/12
更新日: 2021/1/14
サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.6
CVSS v2
リスクファクター: Medium
基本値: 6.9
現状値: 5.1
ベクトル: CVSS2#AV:L/AC:M/Au:N/C:C/I:C/A:C
脆弱性情報
CPE: p-cpe:/a:oracle:linux:bash, cpe:/o:oracle:linux:4
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/OracleLinux
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2011/2/24
脆弱性公開日: 2008/12/8
参照情報
CVE: CVE-2008-5374
BID: 32733