CentOS 6:ibutils / infinipath-psm / libibverbs / libmlx4 / librdmacm / mpitests / mstflint / 等 (CESA-2013:1661)
medium Nessus 插件 ID 79172
语言:
简介
远程 CentOS 主机缺少一个或多个安全更新。描述
更新后的 rdma、libibverbs、libmlx4、librdmacm、qperf、perftest、openmpi、compat-openmpi、infinipath-psm、mpitests 和 rds-tools 程序包修复了两个安全问题和多个缺陷并添加了多种增强,现在可用于 Red Hat Enterprise Linux 6。Red Hat 安全响应团队已将此更新评级为具有中等安全影响。可从“参考”部分中的 CVE 链接获取针对每个漏洞的通用漏洞评分系统 (CVSS) 基本分数,其给出了详细的严重性等级。
Red Hat Enterprise Linux 包含一系列 Infiniband 和 iWARP 实用工具、库,以及使用远程直接内存访问 (RDMA) 技术编写应用程序的开发程序包。
在 ibutils 处理临时文件的方式中发现一个缺陷。本地攻击者可利用此缺陷,以根用户身份通过符号链接攻击导致覆盖任意文件。
(CVE-2013-2561)
已发现 librdmacm 使用静态端口连接到 ib_acm 服务。能够在该端口上运行特别构建的 ib_acm 服务的本地攻击者可利用此缺陷向 librmdacm 应用程序提供错误的地址解析信息。
(CVE-2012-4516)
CVE-2012-4516 问题由 Red Hat 产品安全团队的 Florian Weimer 发现。
此公告将以下程序包更新到最新上游版本,并在之前版本的基础上提供大量缺陷补丁和增强:
* libibverbs-1.1.7 * libmlx4-1.0.5 * librdmacm-1.0.17 * mstflint-3.0 * perftest-2.0 * qperf-0.4.9 * rdma-3.10
已修复 openmpi、mpitests、ibutils 和 infinipath-psm 程序包中的多个缺陷。
这些更新后的程序包中 RDMA 堆栈最明显的变化如下:
* 已解决消息传递接口 (MPI) 测试程序包中的多种缺陷,允许更多 mpitest 应用程序传递底层 MPI 实现。
* libmlx4 程序包现在包含 dracut 模块文件,可确保任何必要的 mlx4 端口类型自定义配置包含在 initramfs dracut 版本中。
* perftest 和 qperf 程序包中的多个测试程序现在可通过 RoCE 接口正常运行,或者在指定使用 rdmacm 队列对时可正常运行。
* mstflint 程序包已更新到最新上游版本,现在能够刻录新版 Mellanox Connect-IB 硬件上的固件。
* 这些程序包的新版本已解决 openmpi 与 infinipath-psm 程序包之间的兼容性问题。
建议所有 RDMA 用户升级这些更新后的程序包,其中包含用于修正这些问题的向后移植的修补程序,并且添加了上述增强。
解决方案
更新受影响的数据包。另见
http://www.nessus.org/u?c2cf29dd
http://www.nessus.org/u?3a751434
http://www.nessus.org/u?eed2299c
http://www.nessus.org/u?35f694e3
http://www.nessus.org/u?05f731a1
http://www.nessus.org/u?57f90ae9
http://www.nessus.org/u?a35cab61
http://www.nessus.org/u?451e9886
http://www.nessus.org/u?76d85c0d
插件详情
严重性: Medium
ID: 79172
文件名: centos_RHSA-2013-1661.nasl
版本: 1.12
类型: local
代理: unix
发布时间: 2014/11/12
最近更新时间: 2021/1/4
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Agentless Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 5.5
CVSS v2
风险因素: Medium
基本分数: 6.3
时间分数: 4.7
矢量: CVSS2#AV:L/AC:M/Au:N/C:N/I:C/A:C
CVSS 分数来源: CVE-2013-2561
漏洞信息
CPE: p-cpe:/a:centos:centos:ibutils, p-cpe:/a:centos:centos:ibutils-devel, p-cpe:/a:centos:centos:ibutils-libs, p-cpe:/a:centos:centos:infinipath-psm, p-cpe:/a:centos:centos:infinipath-psm-devel, p-cpe:/a:centos:centos:libibverbs, p-cpe:/a:centos:centos:libibverbs-devel, p-cpe:/a:centos:centos:libibverbs-devel-static, p-cpe:/a:centos:centos:libibverbs-utils, p-cpe:/a:centos:centos:libmlx4, p-cpe:/a:centos:centos:libmlx4-static, p-cpe:/a:centos:centos:librdmacm, p-cpe:/a:centos:centos:librdmacm-devel, p-cpe:/a:centos:centos:librdmacm-static, p-cpe:/a:centos:centos:librdmacm-utils, p-cpe:/a:centos:centos:mpitests-mvapich, p-cpe:/a:centos:centos:mpitests-mvapich-psm, p-cpe:/a:centos:centos:mpitests-mvapich2, p-cpe:/a:centos:centos:mpitests-mvapich2-psm, p-cpe:/a:centos:centos:mpitests-openmpi, p-cpe:/a:centos:centos:mstflint, p-cpe:/a:centos:centos:openmpi, p-cpe:/a:centos:centos:openmpi-devel, p-cpe:/a:centos:centos:perftest, p-cpe:/a:centos:centos:qperf, p-cpe:/a:centos:centos:rdma, cpe:/o:centos:centos:6
必需的 KB 项: Host/local_checks_enabled, Host/CentOS/release, Host/CentOS/rpm-list
易利用性: No known exploits are available
补丁发布日期: 2013/11/26
漏洞发布日期: 2012/10/22
参考资料信息
CVE: CVE-2012-4516, CVE-2013-2561
RHSA: 2013:1661