Mandriva Linux 安全公告:glibc (MDVSA-2011:179)

medium Nessus 插件 ID 61938
全新!漏洞优先级评级 (VPR)

Tenable 测算每个漏洞的动态 VPR。VPR 将漏洞信息与威胁情报和机器学习算法相结合,预测哪些漏洞最有可能在攻击中被利用。了解详细信息: VPR 的定义及其与 CVSS 的区别。

VPR 得分: 4.7

简介

远程 Mandriva Linux 主机缺少一个或多个安全更新。

描述

已在 glibc 中发现并修复了多种漏洞:

GNU C 库(也称为 glibc 或 libc6)2.13 及更低版本中的 addmntent 函数未针对写入到 /etc/mtab 文件的失败尝试报告错误状态,这更容易使本地用户触发损坏此文件,如演示中通过从包含较小的 RLIMIT_FSIZE 值的进程写入,此漏洞与 CVE-2010-0296 不同 (CVE-2011-1089)。

GNU C 库(也称为 glibc 或 libc6)2.13 及更低版本的 posix/fnmatch.c 中的整数溢出允许上下文有关的攻击者通过 fnmatch 调用(含构建的模式参数)中使用的较长的 UTF8 字符串造成拒绝服务(应用程序崩溃),此漏洞与 CVE-2011-1071 不同 (CVE-2011-1659)。

某些平台的 glibc 中使用的 1.1 版本之前的 crypt_blowfish 未正确处理 8 位字符,这使上下文有关的攻击者更容易利用密码哈希知识确定明文密码 (CVE-2011-2483)。

更新后的程序包已进行修补,以修正这些问题。

解决方案

更新受影响的程序包。

插件详情

严重性: Medium

ID: 61938

文件名: mandriva_MDVSA-2011-179.nasl

版本: 1.11

类型: local

发布时间: 2012/9/6

最近更新时间: 2021/1/6

依存关系: ssh_get_info.nasl

风险信息

风险因素: Medium

VPR 得分: 4.7

CVSS v2.0

基本分数: 5

时间分数: 3.7

矢量: AV:N/AC:L/Au:N/C:N/I:N/A:P

时间矢量: E:U/RL:OF/RC:C

漏洞信息

CPE: p-cpe:/a:mandriva:linux:glibc, p-cpe:/a:mandriva:linux:glibc-devel, p-cpe:/a:mandriva:linux:glibc-doc, p-cpe:/a:mandriva:linux:glibc-doc-pdf, p-cpe:/a:mandriva:linux:glibc-i18ndata, p-cpe:/a:mandriva:linux:glibc-profile, p-cpe:/a:mandriva:linux:glibc-static-devel, p-cpe:/a:mandriva:linux:glibc-utils, p-cpe:/a:mandriva:linux:nscd, cpe:/o:mandriva:linux:2011

必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list

易利用性: No known exploits are available

补丁发布日期: 2011/11/25

参考资料信息

CVE: CVE-2011-1089, CVE-2011-1659, CVE-2011-2483

BID: 46740, 49241

MDVSA: 2011:179