Scientific Linux 安全更新:SL6.x i386/x86_64 中的 glibc
medium Nessus 插件 ID 71193
语言:
简介
远程 Scientific Linux 主机缺少一个或多个安全更新。描述
在 glibc 的内存分配器函数(pvalloc、valloc 和 memalign)中发现多个可导致基于堆的缓冲区溢出的整数溢出缺陷。如果应用程序使用此类函数,则可导致应用程序崩溃或可能以运行该应用程序的用户权限执行任意代码。(CVE-2013-4332)在处理多字节字符输入的正则表达式匹配例程中发现一个缺陷。如果应用程序使用 glibc 正则表达式匹配机制,则攻击者可提供特别构建的输入,当处理输入时,可导致该应用程序崩溃。(CVE-2013-0242)
已发现 getaddrinfo() 没有限制名称解析期间所使用的堆栈内存量。能够使应用程序解析受攻击者控制的主机名或 IP 地址的攻击者,可能会导致该应用程序耗尽所有堆栈内存并崩溃。(CVE-2013-1914)
除其他变更之外,此更新还包含以下缺陷的重要补丁:
- 由于 Scientific Linux 6.0 中 getaddrinfo() 系统调用的初始版本中的一个缺陷,从 /etc/hosts 文件解析的 AF_INET 和 AF_INET6 查询会将查询的名称返回为规范化名称。但这种不正确的行为仍被视为预期行为。在最近更改 getaddrinfo() 后,AF_INET6 查询开始正确解析标准名称。但依靠解析自 /etc/hosts 文件的查询的应用程序未预期此行为,因此这些应用程序可能无法正常运行。此更新应用了补丁,确保从 /etc/hosts 解析的 AF_INET6 查询始终将查询的名称返回为标准。请注意,DNS 查找经过正确解析,始终返回正确的标准名称。
未来版本可应用来自 /etc/hosts 的 AF_INET6 查询解析的正确补丁;由于缺乏标准,Red Hat 建议将 /etc/hosts 文件中的第一个适用于所解析 IP 地址的条目视为标准条目。
解决方案
更新受影响的数据包。另见
插件详情
严重性: Medium
ID: 71193
文件名: sl_20131121_glibc_on_SL6_x.nasl
版本: 1.6
类型: local
代理: unix
发布时间: 2013/12/4
最近更新时间: 2021/1/14
支持的传感器: Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 4.4
CVSS v2
风险因素: Medium
基本分数: 5
矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P
漏洞信息
CPE: p-cpe:/a:fermilab:scientific_linux:glibc, p-cpe:/a:fermilab:scientific_linux:glibc-common, p-cpe:/a:fermilab:scientific_linux:glibc-debuginfo, p-cpe:/a:fermilab:scientific_linux:glibc-debuginfo-common, p-cpe:/a:fermilab:scientific_linux:glibc-devel, p-cpe:/a:fermilab:scientific_linux:glibc-headers, p-cpe:/a:fermilab:scientific_linux:glibc-static, p-cpe:/a:fermilab:scientific_linux:glibc-utils, p-cpe:/a:fermilab:scientific_linux:nscd, x-cpe:/o:fermilab:scientific_linux
必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
补丁发布日期: 2013/11/21
漏洞发布日期: 2013/2/8