Debian dla-3782 : bsdutils - 安全更新
medium Nessus 插件 ID 192962
语言:
简介
远程 Debian 主机上缺少一个或多个与安全性相关的更新。描述
远程 Debian 10 主机上安装的程序包受到 dla-3782 公告中提及的多个漏洞影响。- 如果攻击者使用系统资源的方式导致 /proc/sysvipc/sem 文件中出现大量数字,则低于 2.37.1 版的 util-linux 中的整数溢出可能导致缓冲区溢出。
注意:这在 GNU C 库环境中无法利用,并且可能在所有实际环境中都无法利用。
(CVE-2021-37600)
- 版本不超过 2.40 的 util-linux 中的 wall(通常随 setgid tty 权限安装)允许通过 argv 将转义序列发送到其他用户的终端。(特别是,从 stdin 接收的转义序列会被阻断,但从 argv 接收的转义序列不会被阻断。)此问题可能会引发帐户接管漏洞。(CVE-2024-28085)
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
升级 bsdutils 程序包。另见
https://security-tracker.debian.org/tracker/source-package/util-linux
https://security-tracker.debian.org/tracker/CVE-2021-37600
插件详情
严重性: Medium
ID: 192962
文件名: debian_DLA-3782.nasl
版本: 1.0
类型: local
代理: unix
发布时间: 2024/4/7
最近更新时间: 2024/4/7
支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus
风险信息
VPR
风险因素: Critical
分数: 9.0
CVSS v2
风险因素: Low
基本分数: 1.2
时间分数: 0.9
矢量: CVSS2#AV:L/AC:H/Au:N/C:N/I:N/A:P
CVSS 分数来源: CVE-2021-37600
CVSS v3
风险因素: Medium
基本分数: 5.5
时间分数: 5
矢量: CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
漏洞信息
CPE: p-cpe:/a:debian:debian_linux:bsdutils, p-cpe:/a:debian:debian_linux:fdisk, p-cpe:/a:debian:debian_linux:libblkid-dev, p-cpe:/a:debian:debian_linux:libblkid1, p-cpe:/a:debian:debian_linux:libfdisk-dev, p-cpe:/a:debian:debian_linux:libfdisk1, p-cpe:/a:debian:debian_linux:libmount-dev, p-cpe:/a:debian:debian_linux:libmount1, p-cpe:/a:debian:debian_linux:libsmartcols-dev, p-cpe:/a:debian:debian_linux:libsmartcols1, p-cpe:/a:debian:debian_linux:libuuid1, p-cpe:/a:debian:debian_linux:mount, p-cpe:/a:debian:debian_linux:rfkill, p-cpe:/a:debian:debian_linux:util-linux, p-cpe:/a:debian:debian_linux:util-linux-locales, p-cpe:/a:debian:debian_linux:uuid-dev, p-cpe:/a:debian:debian_linux:uuid-runtime, cpe:/o:debian:debian_linux:10.0
必需的 KB 项: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
可利用: true
易利用性: Exploits are available
补丁发布日期: 2024/4/7
漏洞发布日期: 2021/7/30
参考资料信息
CVE: CVE-2021-37600, CVE-2024-28085