検出

Oracle Linux 6:busybox(ELSA-2013-1732)

high Nessus プラグイン ID 71113

Language:

概要

リモート Oracle Linux ホストに、1 つ以上のセキュリティ更新がありません。

説明

Red Hat セキュリティアドバイザリ 2013:1732 から:

1 つのセキュリティ問題および複数のバグを修正する、更新済み busybox パッケージが、 Red Hat Enterprise Linux 6 で使用できるようになりました。

Red Hat セキュリティレスポンスチームは、この更新によるセキュリティ上の影響は小さいと評価しています。詳細な重要度評価を示す Common Vulnerability Scoring System(CVSS)ベーススコアは「参照」セクションの CVE リンクで入手できます。

BusyBox はシェルを含む多数のシステムコマンドのバージョンを含むバイナリを 1 つ提供します。これは、特定タイプのシステム障害、とりわけ破損した共有ライブラリに関するシステム障害から回復する場合に非常に役立つ可能性があります。

mdev BusyBox ユーティリティにより、/dev 内に、誰でも書き込める権限付きの特定のディレクトリが、作成されることがあることが、見つかりました。権限のないローカルユーザーがこの欠陥を使用して、/dev ディレクトリツリーの一部を操作する可能性があります。(CVE-2013-1813)

この更新は以下のバグも修正します:

* 以前は、IBM System z アーキテクチャの文字列サイズ最適化に熱心すぎたため、標準入力を処理した後に、「wc」 BusyBox コマンドが以下のエラーで失敗しました。

wc: : No such file or directory

このバグは、文字列サイズ最適化を無効にすることで修正されており、「wc」コマンドは IBM System z アーキテクチャで適切に機能します。(BZ#820097)

* この更新前は、「mknod」コマンドは、255 を超えるメジャー番号またはマイナー番号付きのデバイスノードを、作成できませんでした。
その結果、kdump ユーティリティでこのようなデバイスを処理できませんでした。下層にあるソースコードが変更されており、「mknod」コマンドを使用して、255 を超えるメジャー番号またはマイナー番号付きのデバイスノードを、作成できるようになりました。(BZ#859817)

* NFS サーバーからのネットワークインストールを選択した場合、「mount」コマンドで、デフォルトで UDP プロトコルが使用されました。TCP マウントだけがサーバーによってサポートされる場合、これにより mount コマンドが失敗します。その結果、Anaconda はインストールを続行できませんでした。このバグが修正され、NFS マウント操作がデフォルトの TCP プロトコルになります。(BZ#855832)

すべての busybox ユーザーは、これらの更新済みパッケージにアップグレードすることが推奨されます。これには、これらの問題を修正するバックポートされたパッチが含まれます。

ソリューション

影響を受ける busybox パッケージを更新してください。

参考資料

https://oss.oracle.com/pipermail/el-errata/2013-November/003815.html

プラグインの詳細

深刻度: High

ID: 71113

ファイル名: oraclelinux_ELSA-2013-1732.nasl

バージョン: 1.7

タイプ: local

エージェント: unix

公開日: 2013/11/27

更新日: 2021/1/14

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: High

基本値: 7.2

現状値: 5.3

ベクトル: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C

脆弱性情報

CPE: p-cpe:/a:oracle:linux:busybox, p-cpe:/a:oracle:linux:busybox-petitboot, cpe:/o:oracle:linux:6

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/OracleLinux

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2013/11/26

脆弱性公開日: 2013/11/23

参照情報

CVE: CVE-2013-1813

BID: 58249

RHSA: 2013:1732