OracleVM 3.3:cups (OVMSA-2014-0035)

high Nessus 插件 ID 79550
全新!插件严重性现在使用 CVSS v3

计算的插件严重性默认已更新为使用 CVSS v3。没有 CVSS v3 分数的插件将回退到 CVSS v2 来计算严重性。可以在设置下拉列表中切换严重性显示首选项。

简介

远程 OracleVM 主机缺少一个或多个安全更新。

描述

远程 OracleVM 系统缺少必要修补程序来解决关键安全更新:

- 恢复对白名单 /rss/ 资源的变更,因为这并未在上游使用。

- 来自上游的更多 STR #4461 补丁:使 rss 源全局可读,但 cachedir 为隐私。

- 修复服务器重新启动期间 Web 界面中的图标显示 (STR #4475)。

- 修复 STR #4461 的上游修补程序:允许我们所创建文件的 /rss/ 请求。

- 使用 STR #4461 的上游修补程序。

- 已应用上游修补程序,修复了 CVE-2014-5029(缺陷 #1122600)、CVE-2014-5030(缺陷 #1128764)、CVE-2014-5031(缺陷 #1128767)。

- 修复经认证的用户的 conf/log 文件读取 (STR #4461)。

- 修复 CGI 处理(STR #4454、缺陷 #1120419)。

- 针对 CVE-2014-3537 的修复补丁(缺陷 #1117794)

- CVE-2014-2856:跨站脚本缺陷(缺陷 #1117798)

- CVE-2014-3537:检查不充分导致权限升级(缺陷 #1117794)

- 已删除程序包描述变更。

- 已应用修补程序,修复了由于添加 httpSetTimeout 而导致的“Bad request”错误(STR #4440,也是 svn 修订 9967 的一部分)。

- 修复了没有准备好的数据时 cupsd 读取的超时问题(缺陷 #1110045)。

- 修复了 synconclose 修补程序以避免“too many arguments for format”警告。

- 修复了 settimeout 修补程序以包括用于 fmod 声明的 math.h。

- 修复了拼写错误,防止 Web 界面更改驱动程序(缺陷 #1104483、STR #3601)。

- 修复了 SyncOnClose 修补程序(缺陷 #984883)。

- 使用上游修补程序以避免重播 GSS 凭据(缺陷 #1040293)。

- 防止跨暂停/恢复的 BrowsePoll 问题(缺陷 #769292):

- 避免无限期等待响应(svn 修订 9688)。

- 从 CUPS 1.5 向后移植了 httpSetTimeout API 函数,并在 ipp 后端中使用此函数,造成无限期等待直到打印机响应,发生硬错误或作业已取消。

- cups-polld:出错时重新连接。

- 添加了新的 SyncOnClose 指令,在更改配置文件后使用 fsync:默认为“Yes”。在 cupsd.conf 中调整(缺陷 #984883)。

- 修复 cupsctl 手册页拼写错误(缺陷 #1011076)。

- 使用更具可移植性的 rpm spec 文件语法进行条件性 php 构建(缺陷 #988598)。

- 修复 cupsd.conf 中的 SetEnv 指令(缺陷 #986495)。

- 修复“collection”属性发送(缺陷 #978387)。

- 阻止 format_log 段错误(缺陷 #971079)。

- 阻止 stringpool 损坏(缺陷 #884851)。

- 在排队等待打印机的作业超时的情况下不崩溃(缺陷 #855431)。

- 用于中断多部分处理的上游修补程序(缺陷 #852846)。

- 以正确的权限安装 /etc/cron.daily/cups(缺陷 #1012482)。

- 修复具有多个文件和多种格式的作业(缺陷 #972242)。

- 已应用修补程序,修复了 CVE-2012-5519(SystemGroup 中用户的权限升级或具有同等 polkit 权限)。这阻止路径在 /admin/conf/ 下的 HTTP PUT 请求(对 cupsd.conf 的请求除外),还阻止这类请求更改某些配置指令,例如 PageLog 和 FileDevice(缺陷 #875898)。

解决方案

更新受影响的 cups/cups-libs 程序包。

另见

http://www.nessus.org/u?5c27127c

插件详情

严重性: High

ID: 79550

文件名: oraclevm_OVMSA-2014-0035.nasl

版本: 1.7

类型: local

发布时间: 2014/11/26

最近更新时间: 2021/1/4

依存关系: ssh_get_info.nasl

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: High

基本分数: 7.2

时间分数: 5.3

矢量: AV:L/AC:L/Au:N/C:C/I:C/A:C

时间矢量: E:U/RL:OF/RC:C

漏洞信息

CPE: p-cpe:/a:oracle:vm:cups, p-cpe:/a:oracle:vm:cups-libs, cpe:/o:oracle:vm_server:3.3

必需的 KB 项: Host/local_checks_enabled, Host/OracleVM/release, Host/OracleVM/rpm-list

易利用性: No known exploits are available

补丁发布日期: 2014/11/4

漏洞发布日期: 2012/11/19

参考资料信息

CVE: CVE-2012-5519, CVE-2014-2856, CVE-2014-3537, CVE-2014-5029, CVE-2014-5030, CVE-2014-5031

BID: 56494, 66788, 68788, 68842, 68846, 68847