SuSE 11.3 安全更新:Linux 内核(SAT 修补程序编号 9233 / 9236 / 9237)

high Nessus 插件 ID 74033

简介

远程 SuSE 11 主机缺少一个或多个安全更新。

描述

SUSE Linux Enterprise 11 Service Pack 3 内核已更新,修复了以下严重的安全问题:

- 3.14.3 及较早版本的 Linux 内核中 drivers/block/floppy.c 中的 raw_cmd_copyin 函数在 FDRAWCMD ioctl 调用的处理期间未正确处理错误情况,这允许本地用户通过利用对 /dev/fd 设备的写入访问触发 kfree 操作并获取权限。(bnc#875798)。
(CVE-2014-1737)

- 3.14.3 及较早版本的 Linux 内核中 drivers/block/floppy.c 中的 raw_cmd_copyout 函数在 FDRAWCMD ioctl 调用的处理期间未正确限制对某些指针的访问权限,这允许本地用户通过利用对 /dev/fd 设备的写入访问获得内核堆内存中的敏感信息。
(bnc#875798)。(CVE-2014-1738)

- 3.14.3 及较早版本的 Linux 内核中 drivers/tty/n_tty.c 中的 n_tty_write 函数未正确管理“LECHO & !OPOST”情况中的 tty 驱动程序访问,这允许本地用户通过触发涉及包含长字符串的读取和写入操作的争用条件造成拒绝服务(内存损坏和系统崩溃)或获取权限。(bnc#875690)。
(CVE-2014-0196)

解决方案

请酌情应用 SAT 修补程序编号 9233 / 9236 / 9237。

另见

https://bugzilla.novell.com/show_bug.cgi?id=875690

https://bugzilla.novell.com/show_bug.cgi?id=875798

http://support.novell.com/security/cve/CVE-2014-0196.html

http://support.novell.com/security/cve/CVE-2014-1737.html

http://support.novell.com/security/cve/CVE-2014-1738.html

插件详情

严重性: High

ID: 74033

文件名: suse_11_kernel-140513.nasl

版本: 1.8

类型: local

代理: unix

发布时间: 2014/5/16

最近更新时间: 2023/5/14

支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

风险信息

VPR

风险因素: High

分数: 8.8

CVSS v2

风险因素: High

基本分数: 7.2

矢量: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C

漏洞信息

CPE: p-cpe:/a:novell:suse_linux:11:kernel-default, p-cpe:/a:novell:suse_linux:11:kernel-default-base, p-cpe:/a:novell:suse_linux:11:kernel-default-devel, p-cpe:/a:novell:suse_linux:11:kernel-default-extra, p-cpe:/a:novell:suse_linux:11:kernel-default-man, p-cpe:/a:novell:suse_linux:11:kernel-ec2, p-cpe:/a:novell:suse_linux:11:kernel-ec2-base, p-cpe:/a:novell:suse_linux:11:kernel-ec2-devel, p-cpe:/a:novell:suse_linux:11:kernel-pae, p-cpe:/a:novell:suse_linux:11:kernel-pae-base, p-cpe:/a:novell:suse_linux:11:kernel-pae-devel, p-cpe:/a:novell:suse_linux:11:kernel-pae-extra, p-cpe:/a:novell:suse_linux:11:kernel-source, p-cpe:/a:novell:suse_linux:11:kernel-syms, p-cpe:/a:novell:suse_linux:11:kernel-trace, p-cpe:/a:novell:suse_linux:11:kernel-trace-base, p-cpe:/a:novell:suse_linux:11:kernel-trace-devel, p-cpe:/a:novell:suse_linux:11:kernel-xen, p-cpe:/a:novell:suse_linux:11:kernel-xen-base, p-cpe:/a:novell:suse_linux:11:kernel-xen-devel, p-cpe:/a:novell:suse_linux:11:kernel-xen-extra, p-cpe:/a:novell:suse_linux:11:xen-kmp-default, p-cpe:/a:novell:suse_linux:11:xen-kmp-pae, cpe:/o:novell:suse_linux:11

必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

可利用: true

易利用性: Exploits are available

补丁发布日期: 2014/5/13

CISA 已知可遭利用的漏洞到期日期: 2023/6/2

可利用的方式

CANVAS (CANVAS)

Core Impact

参考资料信息

CVE: CVE-2014-0196, CVE-2014-1737, CVE-2014-1738