检测

CentOS 6:glibc (CESA-2013:1605)

medium Nessus 插件 ID 79166

语言:

简介

远程 CentOS 主机缺少一个或多个安全更新。

描述

更新后的 glibc 程序包修复了三个安全问题和多个缺陷并添加了多种增强,现在可用于 Red Hat Enterprise Linux 6。

Red Hat 安全响应团队已将此更新评级为具有中等安全影响。可从“参考”部分中的 CVE 链接获取针对每个漏洞的通用漏洞评分系统 (CVSS) 基本分数,其给出了详细的严重性等级。

glibc 程序包提供了标准 C 库 (libc)、POSIX 线程库 (libpthread)、标准 math 库 (libm),以及名称服务器缓存后台程序 (nscd),供系统中的多个程序使用。如果没有这些库,Linux 系统无法正常工作。

在 glibc 的内存分配器函数(pvalloc、valloc 和 memalign)中发现多个可导致基于堆的缓冲区溢出的整数溢出缺陷。如果应用程序使用此类函数,则可导致应用程序崩溃或可能以运行该应用程序的用户权限执行任意代码。(CVE-2013-4332)

在处理多字节字符输入的正则表达式匹配例程中发现一个缺陷。如果应用程序使用 glibc 正则表达式匹配机制,则攻击者可提供特别构建的输入,当处理输入时,可导致该应用程序崩溃。(CVE-2013-0242)

已发现 getaddrinfo() 没有限制名称解析期间所使用的堆栈内存量。能够使应用程序解析受攻击者控制的主机名或 IP 地址的攻击者,可能会导致该应用程序耗尽所有堆栈内存并崩溃。(CVE-2013-1914)

除其他变更之外,此更新还包含以下缺陷的重要补丁:

* 由于 Red Hat Enterprise Linux 6.0 中 getaddrinfo() 系统调用初始版本存在的缺陷,从 /etc/hosts 文件解析的 AF_INET 和 AF_INET6 查询将查询的名称返回为标准名称。但这种不正确的行为仍被视为预期行为。在最近更改 getaddrinfo() 后,AF_INET6 查询开始正确解析标准名称。
但依靠解析自 /etc/hosts 文件的查询的应用程序未预期此行为,因此这些应用程序可能无法正常运行。此更新应用了补丁,确保从 /etc/hosts 解析的 AF_INET6 查询始终将查询的名称返回为标准。请注意,DNS 查找经过正确解析,始终返回正确的标准名称。未来版本可应用来自 /etc/hosts 的 AF_INET6 查询解析的正确补丁;由于缺乏标准,Red Hat 建议将 /etc/hosts 文件中的第一个适用于所解析 IP 地址的条目视为标准条目。
(BZ#1022022)

这些更新后的 glibc 程序包还包含其他缺陷补丁和各种增强。空间有限,无法在此公告中记载所有这些更改。有关这些最重要的变更的信息,用户可参阅在“参考”部分中链接的 Red Hat Enterprise Linux 6.5 技术札记。

建议所有 glibc 用户升级这些更新后的程序包,其中包含用于修正这些问题的向后移植的修补程序,并且添加了上述增强。

解决方案

更新受影响的 glibc 程序包。

另见

http://www.nessus.org/u?f77df32f

插件详情

严重性: Medium

ID: 79166

文件名: centos_RHSA-2013-1605.nasl

版本: 1.10

类型: local

代理: unix

发布时间: 2014/11/12

最近更新时间: 2021/1/4

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Agentless Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 4.4

CVSS v2

风险因素: Medium

基本分数: 5

时间分数: 3.7

矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P

CVSS 分数来源: CVE-2013-0242

漏洞信息

CPE: p-cpe:/a:centos:centos:glibc-headers, p-cpe:/a:centos:centos:glibc, p-cpe:/a:centos:centos:glibc-common, p-cpe:/a:centos:centos:glibc-devel, p-cpe:/a:centos:centos:glibc-static, p-cpe:/a:centos:centos:glibc-utils, p-cpe:/a:centos:centos:nscd, cpe:/o:centos:centos:6

必需的 KB 项: Host/local_checks_enabled, Host/CentOS/release, Host/CentOS/rpm-list

易利用性: No known exploits are available

补丁发布日期: 2013/11/26

漏洞发布日期: 2013/2/8

参考资料信息

CVE: CVE-2013-0242, CVE-2013-1914, CVE-2013-4332

BID: 57638, 58839, 62324

RHSA: 2013:1605