検出

OracleVM 3.3/3.4:bash(OVMSA-2017-0050)

high Nessus プラグイン ID 99077

Language:

概要

リモートのOracleVMホストにセキュリティ更新がありません。

説明

リモートのOracleVMシステムには、重大なセキュリティ更新に対処するために必要なパッチがありません:- 読み取りビルトインの信号処理を修正 解決:#1421926 - CVE-2016-9401 - 「-」がpopdへの第二署名として受け渡されたときのクラッシュを修正解決:#1396383 - CVE-2016-7543 - SHELLOPTS+PS4変数を介した任意のコード実行を修正 解決:#1379630 - CVE-2016-0634 - 悪意のあるホスト名を介した任意のコード実行を修正 解決:#1377613 - 長い文字列を拡張する際のパラメーター拡張におけるクラッシュを回避 解決:#1359142 - SIGHUPを受信時に読み取り入力を停止 解決:#1325753 - パラメーター拡張時にパターン削除を実行する間Bashがメモリを漏えい 解決:#1283829 - シャットダウン時Bash履歴を保存するときの競合状態を修正 解決:#1325753 - Bashはdbgerがインストールされていないbash --debuggerを無視できない 関連:#1260568 - ループおよびブラケットを内部で誤って解析 解決:#1207803 - IFSがherestringを不適切に分割 解決:#1250070 - subshell内のforループのケースが構文エラーを引き起こす 解決:#1240994 - Bashはdbgerがインストールされていないbash --debuggerを無視できない 解決:#1260568 - pattern-substが繰り返し実行される場合Bashがメモリを漏えい 解決:#1207042 - 信号の受信時Bashがハング 解決:#868846

ソリューション

影響を受けるbashパッケージを更新してください。

参考資料

http://www.nessus.org/u?49d2a21e

http://www.nessus.org/u?85c795b3

プラグインの詳細

深刻度: High

ID: 99077

ファイル名: oraclevm_OVMSA-2017-0050.nasl

バージョン: 3.7

タイプ: local

公開日: 2017/3/30

更新日: 2022/1/31

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: High

スコア: 7.4

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 7.8

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS v3

リスクファクター: High

基本値: 8.4

現状値: 7.6

ベクトル: CVSS:3.0/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:oracle:vm:bash, cpe:/o:oracle:vm_server:3.3, cpe:/o:oracle:vm_server:3.4

必要な KB アイテム: Host/local_checks_enabled, Host/OracleVM/release, Host/OracleVM/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2017/3/29

脆弱性公開日: 2014/9/24

CISA の既知の悪用された脆弱性の期限日: 2022/7/28

参照情報

CVE: CVE-2014-7169, CVE-2016-0634, CVE-2016-7543, CVE-2016-9401

BID: 70137