检测

Mandriva Linux 安全公告:boost (MDVSA-2013:065)

medium Nessus 插件 ID 66079

语言:

简介

远程 Mandriva Linux 主机缺少一个或多个安全更新。

描述

更新后的 boost 程序包修复了以下安全漏洞:

分配内存时,在 Boost(免费的对等复查可移植 C++ 源库)中的 ordered_malloc() 例程实现执行“next-size”和“max_size”参数审查的方式中发现了一个安全缺陷。如果使用 Boost C++ 源库分配内存的应用程序缺少对“next_size”和“max_size”值安全性的应用程序级别检查,远程攻击者可提供特别构建的,应用程序特定的文件(需要正确处理运行时内存分配),而打开该文件时,将导致该应用程序崩溃,或者以运行该应用程序的用户的权限执行任意代码 (CVE-2012-2677)。

Boost 1.48 到 1.52 中包含的 Boost.Locale 库有一个安全缺陷 (CVE-2013-0252):boost::locale::utf::utf_traits 接受某些无效的 UTF-8 序列。使用这些函数执行 UTF-8 输入验证的应用程序受到安全威胁的影响,因为将把无效的 UTF-8 序列视为有效。

此程序包已修补,修复了上面的安全缺陷。

解决方案

更新受影响的数据包。

插件详情

严重性: Medium

ID: 66079

文件名: mandriva_MDVSA-2013-065.nasl

版本: 1.8

类型: local

发布时间: 2013/4/20

最近更新时间: 2021/1/6

支持的传感器: Nessus

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: Medium

基本分数: 5

时间分数: 4.4

矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P

漏洞信息

CPE: p-cpe:/a:mandriva:linux:boost-devel-doc, p-cpe:/a:mandriva:linux:boost-examples, p-cpe:/a:mandriva:linux:lib64boost-devel, p-cpe:/a:mandriva:linux:lib64boost-static-devel, p-cpe:/a:mandriva:linux:lib64boost_chrono1.48.0, p-cpe:/a:mandriva:linux:lib64boost_date_time1.48.0, p-cpe:/a:mandriva:linux:lib64boost_filesystem1.48.0, p-cpe:/a:mandriva:linux:lib64boost_graph1.48.0, p-cpe:/a:mandriva:linux:lib64boost_iostreams1.48.0, p-cpe:/a:mandriva:linux:lib64boost_locale1.48.0, p-cpe:/a:mandriva:linux:lib64boost_math1.48.0, p-cpe:/a:mandriva:linux:lib64boost_prg_exec_monitor1.48.0, p-cpe:/a:mandriva:linux:lib64boost_program_options1.48.0, p-cpe:/a:mandriva:linux:lib64boost_python1.48.0, p-cpe:/a:mandriva:linux:lib64boost_random1.48.0, p-cpe:/a:mandriva:linux:lib64boost_regex1.48.0, p-cpe:/a:mandriva:linux:lib64boost_serialization1.48.0, p-cpe:/a:mandriva:linux:lib64boost_signals1.48.0, p-cpe:/a:mandriva:linux:lib64boost_system1.48.0, p-cpe:/a:mandriva:linux:lib64boost_thread1.48.0, p-cpe:/a:mandriva:linux:lib64boost_timer1.48.0, p-cpe:/a:mandriva:linux:lib64boost_unit_test_framework1.48.0, p-cpe:/a:mandriva:linux:lib64boost_wave1.48.0, p-cpe:/a:mandriva:linux:lib64boost_wserialization1.48.0, cpe:/o:mandriva:business_server:1

必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list

易利用性: No known exploits are available

补丁发布日期: 2013/4/8

参考资料信息

CVE: CVE-2012-2677, CVE-2013-0252

BID: 54233, 57675

MDVSA: 2013:065

MGASA: 2012-0151, 2013-0061