检测

Oracle Linux 6:cifs-utils (ELSA-2012-0902)

low Nessus 插件 ID 68560

语言:

简介

远程 Oracle Linux 主机缺少安全更新。

描述

来自 Red Hat 安全公告 2012:0902:

更新后的 nfs-utils 程序包修复了一个安全问题和多个缺陷并添加了多项增强,现在可用于 Red Hat Enterprise Linux 6。

Red Hat 安全响应团队将此更新评级为具有低危安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数,其给出了详细的严重性等级。

cifs-utils 程序包中包含用于在使用 SMB/CIFS 协议的 Linux 上挂载和管理共享的工具。CIFS 共享可用作标准 Linux 文件系统。

在 mount.cifs 中发现了文件存在泄露缺陷。如果使用 setuid 位集安装该工具,本地攻击者可利用此缺陷确定其不能访问的目录中的文件或目录的存在性。(CVE-2012-1586)

注意:Red Hat 分发的 cifs-utils 程序包中的 mount.cifs 未设置 setuid 位。我们建议管理员不要为 mount.cifs 手动设置 setuid 位。

此更新还修复以下缺陷:

* cifs.mount(8) 手册页以前缺少若干挂载选项的文档。通过此更新,现已将缺少的条目添加到了手册页。(BZ#769923)

* 以前,重新挂载现有 CIFS 挂载时,mount.cifs 实用工具未正确更新“/etc/mtab”系统信息文件。结果,mount.cifs 创建了现有挂载条目的重复条目。此更新向 cifs.mount 添加 del_mtab() 函数,以确保添加更新后的挂载条目之前,从“/etc/mtab”删除旧挂载条目。(BZ#770004)

* mount.cifs 实用工具未将用户和群组名称正确转换为数值 UID 和 GID。因此,如果使用用户或群组名称指定“uid”、“gid”或“cruid”挂载选项,则将使用默认值挂载 CIFS 共享。这导致预期用户无法访问该共享,因为 UID 和 GID 默认设置为“0”。通过此更新,可以正确转换用户和群组名称,所以现在可以使用指定的用户和群组所有权正常挂载 CIFS 共享。(BZ#796463)

* cifs.upcall 实用工具不支持“krb5.conf”文件中的“domain_realm”部分,仅支持默认域。
结果,尝试从非默认域挂载 CIFS 共享将失败,并伴随以下错误消息:

mount error(126): Required key not available

此更新修改了底层代码,因此 cifs.upcall 可以正确处理多个 Kerberos 域,而 CIFS 共享现在可以在多域环境中正常挂载。(BZ#805490)

此外,此更新还添加了以下增强:

* cifs.upcall 实用工具以前始终使用“/etc/krb5.conf”文件,而不考虑用户是否指定了自定义的 Kerberos 配置文件。此更新向 cifs.upcall 添加了“--krb5conf”选项,所以管理员可以指定备用 krb5.conf 文件。有关此选项的更多信息,请参阅 cifs.upcall(8) 手册页。(BZ#748756)

* cifs.upcall 实用工具未以最佳方式确定用于 Kerberos 认证的正确服务主体名称 (SPN),这有时会在挂载服务器的不合格域名时造成 krb5 认证失败。此更新改善了 cifs.upcall,所以用于确定 SPN 的方法现在更全面。
(BZ#748757)

* 此更新向 mount.cifs 实用工具添加了“backupuid”和“backupgid”挂载选项。如果指定这些选项,则出于备份目的,将为用户或群组授予文件的访问权限。有关这些选项的更多信息,请参阅 mount.cifs(8) 手册页。
(BZ#806337)

建议所有 cifs-utils 用户升级此更新后的程序包,其中包含用于修复这些问题的向后移植的修补程序并添加这些增强。

解决方案

更新受影响的 cifs-utils 程序包。

另见

https://oss.oracle.com/pipermail/el-errata/2012-July/002911.html

插件详情

严重性: Low

ID: 68560

文件名: oraclelinux_ELSA-2012-0902.nasl

版本: 1.9

类型: local

代理: unix

发布时间: 2013/7/12

最近更新时间: 2021/1/14

支持的传感器: Frictionless Assessment Agent, Nessus Agent, Nessus

风险信息

VPR

风险因素: Low

分数: 2.2

CVSS v2

风险因素: Low

基本分数: 2.1

时间分数: 1.6

矢量: CVSS2#AV:L/AC:L/Au:N/C:P/I:N/A:N

漏洞信息

CPE: p-cpe:/a:oracle:linux:cifs-utils, cpe:/o:oracle:linux:6

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/OracleLinux

可利用: true

易利用性: Exploits are available

补丁发布日期: 2012/7/2

漏洞发布日期: 2012/8/27

参考资料信息

CVE: CVE-2012-1586

BID: 52742, 53246

RHSA: 2012:0902