NewStart CGSL MAIN 4.05：glibc 多个漏洞 (NS-SA-2019-0099)

critical Nessus 插件 ID 127324

语言：

简介

远程机器受到多个漏洞影响。

描述

运行版本 MAIN 4.05 的远程 NewStart CGSL 主机安装有受多个漏洞影响的 glibc 程序包：- 在 hcreate() 和 hcreate_r() 函数中发现整数溢出漏洞，从而导致越界内存访问问题。这可能导致应用程序崩溃或可能执行任意代码。(CVE-2015-8778) - 在 catopen() 函数中发现基于堆栈的缓冲区溢出漏洞。传递给函数的超长字符串会导致崩溃，或可能执行任意代码。(CVE-2015-8779) - 在针对用户空间二进制文件在堆栈上分配内存的方式中发现缺陷。如果堆（或其他内存区域）和堆内存区域相邻，攻击者可利用此缺陷跳过堆栈保护措施，造成进程堆栈或相邻内存区域上受控制的内存损坏，从而提升其系统权限。此为 glibc 部分的缓解作业，针对以安全执行模式运行的程序阻止 LD_LIBRARY_PATH 处理，并减少处理 LD_AUDIT、LD_PRELOAD 和 LD_HWCAP_MASK 所执行的分配数量，使得顺利利用此问题变得更加困难。(CVE-2017-1000366) - 已发现传递给 strftime() 函数的超出范围时间值，会导致越界内存访问问题。这会导致应用程序崩溃或可能的信息泄露。(CVE-2015-8776) - 在 nan* 函数中发现堆栈溢出漏洞，其可导致使用 nan 函数处理长字符串的应用程序崩溃，或可能执行任意代码。(CVE-2014-9761) 请注意，Nessus 并未针对此问题进行测试，而仅依赖应用程序自我报告的版本号。