RHEL 6:glibc (RHSA-2012:0058)

medium Nessus 插件 ID 57676
全新!插件严重性现在使用 CVSS v3

计算的插件严重性默认已更新为使用 CVSS v3。没有 CVSS v3 分数的插件将回退到 CVSS v2 来计算严重性。可以在设置下拉列表中切换严重性显示首选项。

简介

远程 Red Hat 主机缺少一个或多个安全更新。

描述

更新后的 glibc 程序包修复了两个安全问题和三个缺陷,现在可用于 Red Hat Enterprise Linux 6。

Red Hat 安全响应团队已将此更新评级为具有中等安全影响。可从“参考”部分中的 CVE 链接获取针对每个漏洞的通用漏洞评分系统 (CVSS) 基本分数,其给出了详细的严重性等级。

glibc 程序包中包含系统上多个程序使用的标准 C 库。这些程序包中包含标准 C 和标准数学库。如果没有这两个库,Linux 系统无法正常运作。

在 glibc 读取时区文件的方式中发现导致基于堆的缓冲区溢出的整数溢出缺陷。如果链接到 glibc 的应用程序加载了特别构建的时区文件,则可导致应用程序崩溃,或可能以运行该应用程序的用户的权限执行任意代码。(CVE-2009-5029)

在 glibc 的远程过程调用 (RPC) 实现中发现拒绝服务缺陷。能够从 glibc 打开大量使用 RPC 实现的 RPC 服务连接的远程攻击者可利用此缺陷,使该服务使用过量的 CPU 时间。(CVE-2011-4609)

此更新还修复以下缺陷:

* glibc 针对特定法国、西班牙和德国区域设置的数字分隔符和分组信息不正确。因此,当使用这些区域设置时,利用 glibc 的区域设置的应用程序支持包含错误分隔符和分组的打印数字。通过此更新,已修复分隔符和分组信息。
(BZ#754116)

* RHBA-2011:1179 glibc 更新引入了回归,造成 glibc 未正确解析包含超过 126 个成员的群组,从而导致“id”等应用程序无法列出特定用户作为成员所属的所有群组。通过此更新,已修复群组解析问题。(BZ#766484)

* 由于其自身 malloc 例程中的争用条件,glibc 错误地分配了过多内存。这可导致多线程应用程序分配比预期更多的内存。通过此更新,已修复争用条件,并且 malloc 的行为现在与有关 MALLOC_ARENA_TEST 和 MALLOC_ARENA_MAX 环境变量的文档保持一致。(BZ#769594)

用户应升级这些更新后的程序包,其中包含用于解决这些问题的向后移植的修补程序。

解决方案

更新受影响的程序包。

另见

https://access.redhat.com/errata/RHBA-2011:1179

https://access.redhat.com/errata/RHSA-2012:0058

https://access.redhat.com/security/cve/cve-2009-5029

https://access.redhat.com/security/cve/cve-2011-4609

插件详情

严重性: Medium

ID: 57676

文件名: redhat-RHSA-2012-0058.nasl

版本: 1.22

类型: local

代理: unix

发布时间: 2012/1/25

最近更新时间: 2021/1/14

依存关系: ssh_get_info.nasl

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: Medium

基本分数: 6.8

时间分数: 5.3

矢量: AV:N/AC:M/Au:N/C:P/I:P/A:P

时间矢量: E:POC/RL:OF/RC:C

漏洞信息

CPE: p-cpe:/a:redhat:enterprise_linux:glibc, p-cpe:/a:redhat:enterprise_linux:glibc-common, p-cpe:/a:redhat:enterprise_linux:glibc-debuginfo, p-cpe:/a:redhat:enterprise_linux:glibc-debuginfo-common, p-cpe:/a:redhat:enterprise_linux:glibc-devel, p-cpe:/a:redhat:enterprise_linux:glibc-headers, p-cpe:/a:redhat:enterprise_linux:glibc-static, p-cpe:/a:redhat:enterprise_linux:glibc-utils, p-cpe:/a:redhat:enterprise_linux:nscd, cpe:/o:redhat:enterprise_linux:6, cpe:/o:redhat:enterprise_linux:6.2

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

可利用: true

易利用性: Exploits are available

补丁发布日期: 2012/1/24

漏洞发布日期: 2013/5/2

参考资料信息

CVE: CVE-2009-5029, CVE-2011-4609

BID: 51439

RHSA: 2012:0058