GLSA-201412-08:在 2010 年修复了多个程序包和多个漏洞

critical Nessus 插件 ID 79961
全新!插件严重性现在使用 CVSS v3

计算的插件严重性默认已更新为使用 CVSS v3。没有 CVSS v3 分数的插件将回退到 CVSS v2 来计算严重性。可以在设置下拉列表中切换严重性显示首选项。

简介

远程 Gentoo 主机缺少一个或多个与安全有关的修补程序。

描述

远程主机受到 GLSA-201412-08 中所述漏洞的影响(在 2010 年修复了多个程序包和多个漏洞)

已在下列程序包中发现漏洞。
请检查“参考”部分中的 CVE 标识符以了解详细信息。
Insight Perl Tk Module Source-Navigator Tk Partimage Mlmmj acl Xinit gzip ncompress liblzw splashutils GNU M4 KDE Display Manager GTK+ KGet dvipng Beanstalk Policy Mount pam_krb5 GNU gv LFTP Uzbl Slim Bitdefender Console iputils DVBStreamer 影响:

上下文有关的攻击者可获取提升的权限、执行任意代码、导致拒绝服务、获取敏感信息或绕过安全限制。
变通方案:

目前尚无已知的变通方案。

解决方案

所有 Insight 用户应升级到最新版本:
# emerge --sync # emerge --ask --oneshot --verbose ‘>=dev-util/insight-6.7.1-r1’ 所有 Perl Tk Module 用户应升级到最新版本:
# emerge --sync # emerge --ask --oneshot --verbose ‘>=dev-perl/perl-tk-804.028-r2’ 所有 Source-Navigator 用户应升级到最新版本:
# emerge --sync # emerge --ask --oneshot --verbose ‘>=dev-util/sourcenav-5.1.4’ 所有 Tk 用户应升级到最新版本:
# emerge --sync # emerge --ask --oneshot --verbose ‘>=dev-lang/tk-8.4.18-r1’ 所有 Partimage 用户应升级到最新版本:
# emerge --sync # emerge --ask --oneshot --verbose ‘>=sys-block/partimage-0.6.8’ 所有 Mlmmj 用户应升级到最新版本:
# emerge --sync # emerge --ask --oneshot --verbose ‘>=net-mail/mlmmj-1.2.17.1’ 所有 acl 用户应升级到最新版本:
# emerge --sync # emerge --ask --oneshot --verbose ‘>=sys-apps/acl-2.2.49’ 所有 Xinit 用户应升级到最新版本:
# emerge --sync # emerge --ask --oneshot --verbose ‘>=x11-apps/xinit-1.2.0-r4’ 所有 gzip 用户应升级到最新版本:
# emerge --sync # emerge --ask --oneshot --verbose ‘>=app-arch/gzip-1.4’ 所有 ncompress 用户应升级到最新版本:
# emerge --sync # emerge --ask --oneshot --verbose ‘>=app-arch/ncompress-4.2.4.3’ 所有 liblzw 用户应升级到最新版本:
# emerge --sync # emerge --ask --oneshot --verbose ‘>=dev-libs/liblzw-0.2’ 所有 splashutils 用户应升级到最新版本:
# emerge --sync # emerge --ask --oneshot --verbose ‘>=media-gfx/splashutils-1.5.4.3-r3’ 所有 GNU M4 用户应升级到最新版本:
# emerge --sync # emerge --ask --oneshot --verbose ‘>=sys-devel/m4-1.4.14-r1’ 所有 KDE Display Manager 用户应升级到最新版本:
# emerge --sync # emerge --ask --oneshot --verbose '>=kde-base/kdm-4.3.5-r1' 所有 GTK+ 用户应升级到最新版本:
# emerge --sync # emerge --ask --oneshot --verbose '>=x11-libs/gtk+-2.18.7' 所有 KGet 4.3 用户应升级到最新版本:
# emerge --sync # emerge --ask --oneshot --verbose '>=kde-base/kget-4.3.5-r1' 所有 dvipng 用户应升级到最新版本:
# emerge --sync # emerge --ask --oneshot --verbose '>=app-text/dvipng-1.13' 所有 Beanstalk 用户应升级到最新版本:
# emerge --sync # emerge --ask --oneshot --verbose '>=app-misc/beanstalkd-1.4.6' 所有 Policy Mount 用户应升级到最新版本:
# emerge --sync # emerge --ask --oneshot --verbose '>=sys-apps/pmount-0.9.23' 所有 pam_krb5 用户应升级到最新版本:
# emerge --sync # emerge --ask --oneshot --verbose '>=sys-auth/pam_krb5-4.3' 所有 GNU gv 用户应升级到最新版本:
# emerge --sync # emerge --ask --oneshot --verbose '>=app-text/gv-3.7.1' 所有 LFTP 用户应升级到最新版本:
# emerge --sync # emerge --ask --oneshot --verbose '>=net-ftp/lftp-4.0.6' 所有 Uzbl 用户应升级到最新版本:
# emerge --sync # emerge --ask --oneshot --verbose '>=www-client/uzbl-2010.08.05' 所有 Slim 用户应升级到最新版本:
# emerge --sync # emerge --ask --oneshot --verbose '>=x11-misc/slim-1.3.2' 所有 iputils 用户应升级到最新版本:
# emerge --sync # emerge --ask --oneshot --verbose '>=net-misc/iputils-20100418' 所有 DVBStreamer 用户应升级到最新版本:
# emerge --sync # emerge --ask --oneshot --verbose '>=media-tv/dvbstreamer-1.1-r1' Gentoo 已停止支持 Bitdefender Console。建议用户拆分 Bitdefender Console:
# emerge --unmerge ‘app-antivirus/bitdefender-console’ 注意:这是旧的 GLSA。自 2011 年以来,提供针对所有受影响的架构的更新。您的系统可能已经不再受到这些问题的影响。

另见

https://security.gentoo.org/glsa/201412-08

插件详情

严重性: Critical

ID: 79961

文件名: gentoo_GLSA-201412-08.nasl

版本: 1.9

类型: local

发布时间: 2014/12/15

最近更新时间: 2021/1/6

依存关系: ssh_get_info.nasl

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 7.8

矢量: AV:N/AC:L/Au:N/C:C/I:C/A:C

时间矢量: E:POC/RL:OF/RC:C

CVSS v3

风险因素: Critical

基本分数: 9.8

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

漏洞信息

CPE: p-cpe:/a:gentoo:linux:acl, p-cpe:/a:gentoo:linux:beanstalkd, p-cpe:/a:gentoo:linux:bitdefender-console, p-cpe:/a:gentoo:linux:dvbstreamer, p-cpe:/a:gentoo:linux:dvipng, p-cpe:/a:gentoo:linux:gtk%2b, p-cpe:/a:gentoo:linux:gv, p-cpe:/a:gentoo:linux:gzip, p-cpe:/a:gentoo:linux:insight, p-cpe:/a:gentoo:linux:iputils, p-cpe:/a:gentoo:linux:kdm, p-cpe:/a:gentoo:linux:kget, p-cpe:/a:gentoo:linux:lftp, p-cpe:/a:gentoo:linux:liblzw, p-cpe:/a:gentoo:linux:m4, p-cpe:/a:gentoo:linux:mlmmj, p-cpe:/a:gentoo:linux:ncompress, p-cpe:/a:gentoo:linux:pam_krb5, p-cpe:/a:gentoo:linux:partimage, p-cpe:/a:gentoo:linux:perl-tk, p-cpe:/a:gentoo:linux:pmount, p-cpe:/a:gentoo:linux:slim, p-cpe:/a:gentoo:linux:sourcenav, p-cpe:/a:gentoo:linux:splashutils, p-cpe:/a:gentoo:linux:tk, p-cpe:/a:gentoo:linux:uzbl, p-cpe:/a:gentoo:linux:xinit, cpe:/o:gentoo:linux

必需的 KB 项: Host/local_checks_enabled, Host/Gentoo/release, Host/Gentoo/qpkg-list

可利用: true

易利用性: Exploits are available

补丁发布日期: 2014/12/11

漏洞发布日期: 2006/6/13

参考资料信息

CVE: CVE-2006-3005, CVE-2007-2741, CVE-2008-0553, CVE-2008-1382, CVE-2008-5907, CVE-2008-6218, CVE-2008-6661, CVE-2009-0040, CVE-2009-0360, CVE-2009-0361, CVE-2009-0946, CVE-2009-2042, CVE-2009-2624, CVE-2009-3736, CVE-2009-4029, CVE-2009-4411, CVE-2009-4896, CVE-2010-0001, CVE-2010-0436, CVE-2010-0732, CVE-2010-0829, CVE-2010-1000, CVE-2010-1205, CVE-2010-1511, CVE-2010-2056, CVE-2010-2060, CVE-2010-2192, CVE-2010-2251, CVE-2010-2529, CVE-2010-2809, CVE-2010-2945

BID: 24001, 27655, 28770, 31920, 32751, 33740, 33741, 33827, 33990, 34550, 35233, 37128, 37378, 37455, 37886, 37888, 38211, 39467, 39969, 40141, 40426, 40516, 40939, 41174, 41841, 41911, 42297, 43728

GLSA: 201412-08

CWE: 20, 94, 119, 189, 200, 264, 287, 399