检测

Scientific Linux 安全更新:SL6.x i386/x86_64 中的 rsyslog

low Nessus 插件 ID 61348

语言:

简介

远程 Scientific Linux 主机缺少一个或多个安全更新。

描述

rsyslog 程序包提供增强的多线程 syslog 后台程序。

在 rsyslog imfile 模块处理包含长行的文本文件的方式中发现了数值截断错误,可造成基于堆的缓冲区溢出。攻击者如果可以导致长行写入 rsyslogd 使用 imfile 监控的日志文件,则可利用此缺陷造成 rsyslogd 后台程序崩溃,或可能以 rsyslogd 的权限执行任意代码。默认不启用 imfile 模块。(CVE-2011-4623)

缺陷补丁:

- 多个变量未能使用传输层安全 (TLS) 传输和 PKCS#8 格式的密钥正确去初始化。提供了此格式的密钥时,rsyslogd 后台程序因分段错误而终止。现在可以正确去初始化这些变量。

- 以前,imgssapi 插件的初始化不完整。因此,rsyslogd 后台程序在配置为提供 GSSAPI 监听器时将终止。现在可以正确初始化该插件。

- 消息中使用的 localhost 的全限定域名 (FQDN) 是发现的第一个别名。这在多主机上不会始终达成预期的结果。
 通过此更新,算法使用与主机名对应的别名。

- 只要因 GnuTLS 库中的错误导致加载 gtls 模块,该模块都将泄漏文件描述符。达到文件描述符的计数限制时,不能打开任何新文件或网络连接。此更新修改 gtls 模块,使其在进程生命周期内不被卸载。

- rsyslog 不能替代主机名来为本地生成的消息设置备用主机名。
 但是,可以覆盖本地主机名。

- rsyslogd init 脚本未将锁定文件路径传递到“status”操作。因此,将忽略锁定文件并返回错误的退出代码。此更新修改 init 脚本以将锁定文件传递到“status”操作。现在,返回正确的退出代码。

- 如果为 rsyslogd 提供畸形假脱机文件,则可对数据错误地进行去初始化。rsyslogd 后台程序可因分段错误而终止。此更新修改底层代码以对数据正确执行去初始化。

- 以前,在某些错误情况下,可能对不存在的数据执行去初始化。因此,如果将 rsyslog 配置为使用磁盘辅助队列,但不指定假脱机文件,rsyslogd 可因分段错误而终止。通过此更新,可以妥善处理错误情况。

- 手册页错误地陈述了用于开启调试的“-d”选项导致后台程序在前台运行,因而造成误导,因为当前行为是在前台运行。现在,手册页反映正确的行为。

- 即使在后台运行,rsyslog 也会尝试将调试消息写入标准输出。这导致将调试信息写入其他某些输出。已对此进行了修正,因此在后台运行时,调试消息不再写入标准输出。

- 用于容纳证书的可分辨名 (DN) 的字符串缓冲区太小。不显示长度超过 128 个字符的 DN。此更新增大了缓冲区以处理较长的 DN。

增强:

- 支持速率限制和多行消息功能。现在,rsyslogd 可限制其通过 UNIX 套接字接受的消息数量。

- 增加了“/etc/rsyslog.d/”配置目录,以提供 syslog 配置文件。

建议所有 rsyslog 用户升级这些更新后的程序包,以将 rsyslog 升级到版本 5.8.10 并修正这些问题和添加这些增强。安装此更新后,rsyslog 后台程序将自动重新启动。

解决方案

更新受影响的程序包。

另见

http://www.nessus.org/u?1e470ca9

插件详情

严重性: Low

ID: 61348

文件名: sl_20120620_rsyslog_on_SL6_x.nasl

版本: 1.7

类型: local

代理: unix

发布时间: 2012/8/1

最近更新时间: 2021/1/14

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Low

分数: 3.6

CVSS v2

风险因素: Low

基本分数: 2.1

矢量: CVSS2#AV:L/AC:L/Au:N/C:N/I:N/A:P

漏洞信息

CPE: p-cpe:/a:fermilab:scientific_linux:rsyslog-gnutls, p-cpe:/a:fermilab:scientific_linux:rsyslog-gssapi, p-cpe:/a:fermilab:scientific_linux:rsyslog-mysql, p-cpe:/a:fermilab:scientific_linux:rsyslog-pgsql, p-cpe:/a:fermilab:scientific_linux:rsyslog-relp, p-cpe:/a:fermilab:scientific_linux:rsyslog-snmp, x-cpe:/o:fermilab:scientific_linux, p-cpe:/a:fermilab:scientific_linux:rsyslog, p-cpe:/a:fermilab:scientific_linux:rsyslog-debuginfo

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

补丁发布日期: 2012/6/20

漏洞发布日期: 2012/9/25

参考资料信息

CVE: CVE-2011-4623