检测

Ubuntu 16.04 ESM:Slurm 漏洞 (USN-4781-2)

high Nessus 插件 ID 170923

语言:

简介

远程 Ubuntu 主机缺少一个或多个安全更新。

描述

远程 Ubuntu 16.04 ESM 主机上安装的多个程序包受到 USN-4781-2 公告中提及的多个漏洞影响。

 - 在低于 15.08.13 版、16.05.7 之前 16.x 版、17.02.0-pre4 之前的 17.x 版 Slurm 中,slurmd/req.c 中的 _prolog_error 函数在 slurmd 后台程序向用户通知计算节点上的 Prolog 失败方式上存在漏洞。该漏洞可允许用户取得系统上任意文件的控制权。所有对该漏洞的利用都取决于用户是否能够造成运行其作业的 Prolog 脚本失败(非零返回代码)或预见此情况。此问题影响从 0.6.0(2005 年 9 月)到现在的所有 Slurm 版本。防止利用此问题的变通方案是禁用 Prolog 脚本,或对其进行修改,使其始终返回 0(成功),然后使用 scontrol 对其进行调整,将节点设置为关闭,而不是依赖 slurmd 自动处理。如果您没有 Prolog 集,则不受此问题的影响。(CVE-2016-10030)

 - 低于 17.02.11 版和 17.11.7 之前的 17.1x.x 版的 SchedMD Slurm 错误处理了用户名(也称为 user_name 字段)和群组 ID(也称为 gid 字段)。(CVE-2018-10995)

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的程序包。

另见

https://ubuntu.com/security/notices/USN-4781-2

插件详情

严重性: High

ID: 170923

文件名: ubuntu_USN-4781-2.nasl

版本: 1.1

类型: local

代理: unix

发布时间: 2023/2/1

最近更新时间: 2023/7/10

支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: High

基本分数: 7.6

时间分数: 5.6

矢量: CVSS2#AV:N/AC:H/Au:N/C:C/I:C/A:C

CVSS 分数来源: CVE-2016-10030

CVSS v3

风险因素: High

基本分数: 8.1

时间分数: 7.1

矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: cpe:/o:canonical:ubuntu_linux:16.04:-:esm, p-cpe:/a:canonical:ubuntu_linux:libpam-slurm, p-cpe:/a:canonical:ubuntu_linux:libpmi0, p-cpe:/a:canonical:ubuntu_linux:libpmi0-dev, p-cpe:/a:canonical:ubuntu_linux:libslurm-dev, p-cpe:/a:canonical:ubuntu_linux:libslurm-perl, p-cpe:/a:canonical:ubuntu_linux:slurm-llnl, p-cpe:/a:canonical:ubuntu_linux:slurm-llnl-basic-plugins, p-cpe:/a:canonical:ubuntu_linux:slurm-llnl-basic-plugins-dev, p-cpe:/a:canonical:ubuntu_linux:slurm-llnl-slurmdbd, p-cpe:/a:canonical:ubuntu_linux:slurm-llnl-sview, p-cpe:/a:canonical:ubuntu_linux:slurm-llnl-torque, p-cpe:/a:canonical:ubuntu_linux:slurm-wlm, p-cpe:/a:canonical:ubuntu_linux:slurm-wlm-basic-plugins, p-cpe:/a:canonical:ubuntu_linux:slurm-wlm-basic-plugins-dev, p-cpe:/a:canonical:ubuntu_linux:slurm-wlm-emulator, p-cpe:/a:canonical:ubuntu_linux:slurm-wlm-torque, p-cpe:/a:canonical:ubuntu_linux:slurmctld, p-cpe:/a:canonical:ubuntu_linux:slurmd, p-cpe:/a:canonical:ubuntu_linux:slurmdbd, p-cpe:/a:canonical:ubuntu_linux:sview, p-cpe:/a:canonical:ubuntu_linux:libslurm26, p-cpe:/a:canonical:ubuntu_linux:libslurm29, p-cpe:/a:canonical:ubuntu_linux:libslurmdb-dev, p-cpe:/a:canonical:ubuntu_linux:libslurmdb-perl, p-cpe:/a:canonical:ubuntu_linux:libslurmdb26, p-cpe:/a:canonical:ubuntu_linux:libslurmdb29, p-cpe:/a:canonical:ubuntu_linux:slurm-client, p-cpe:/a:canonical:ubuntu_linux:slurm-client-emulator

必需的 KB 项: Host/cpu, Host/Ubuntu, Host/Ubuntu/release, Host/Debian/dpkg-l

易利用性: No known exploits are available

补丁发布日期: 2023/2/1

漏洞发布日期: 2017/1/5

参考资料信息

CVE: CVE-2016-10030, CVE-2018-10995

USN: 4781-2