RHEL 6:glibc (RHSA-2015:0016)

medium Nessus 插件 ID 80408
全新!插件严重性现在使用 CVSS v3

计算的插件严重性默认已更新为使用 CVSS v3。没有 CVSS v3 分数的插件将回退到 CVSS v2 来计算严重性。可以在设置下拉列表中切换严重性显示首选项。

简介

远程 Red Hat 主机缺少一个或多个安全更新。

描述

更新后的 glibc 程序包修复了两个安全问题和两个缺陷,现在可用于 Red Hat Enterprise Linux 6。

Red Hat 产品安全团队将此更新评级为具有中等安全影响。可从“参考”部分中的 CVE 链接获取针对每个漏洞的通用漏洞评分系统 (CVSS) 基本分数,其给出了详细的严重性等级。

glibc 程序包提供了标准 C 库 (libc)、POSIX 线程库 (libpthread)、标准 math 库 (libm),以及名称服务器缓存后台程序 (nscd),供系统中的多个程序使用。如果没有这些库, Linux 系统无法正常工作。

在 glibc 的 iconv() 函数将某些编码数据转换为 UTF-8 的方式中发现越界读取缺陷。能够通过特别构建的参数使某个应用程序调用 iconv() 函数的攻击者可利用此缺陷导致该应用程序崩溃。
(CVE-2014-6040)

已发现即使指定了 WRDE_NOCMD 标记, wordexp() 函数也会执行命令替换。能够将特别构建的输入提供给使用 wordexp() 函数且不会正确审查该输入的应用程序的攻击者可利用此缺陷,以运行该应用程序的用户的凭据执行任意命令。(CVE-2014-7817)

CVE-2014-7817 问题是 Red Hat 开发人员体验团队的 Tim Waugh 发现的。

此更新还修复以下缺陷:

* 以前,在有缺陷的 DNS 服务器上使用 getaddrinfo() 函数执行针对 AF_UNSPEC 值的地址查找时,服务器会在某些情况下回复 A 记录的有效响应,但回复 AAAA 记录的参照响应则会造成查找失败。之前实现的一项更新使 getaddrinfo() 返回有效响应,但其中包含一个印刷错误,因此查找在某些情况下仍会失败。此错误已得到修正, getaddrinfo() 现在会在所述情况下返回有效响应。(BZ#1172023)

* dlopen() 库函数中的错误之前导致对 dlopen() 的递归调用意外终止或因库断言而中止。此错误已得到修复,对 dlopen() 的递归调用不会再崩溃或中止。(BZ#1173469)

建议所有 glibc 用户升级这些更新后的程序包,其中包含用于修正这些问题的向后移植的修补程序。

解决方案

更新受影响的数据包。

另见

https://access.redhat.com/errata/RHSA-2015:0016

https://access.redhat.com/security/cve/cve-2014-7817

https://access.redhat.com/security/cve/cve-2014-6040

插件详情

严重性: Medium

ID: 80408

文件名: redhat-RHSA-2015-0016.nasl

版本: 1.16

类型: local

代理: unix

发布时间: 2015/1/8

最近更新时间: 2021/2/5

依存关系: ssh_get_info.nasl

风险信息

VPR

风险因素: Medium

分数: 5.8

CVSS v2

风险因素: Medium

基本分数: 5

时间分数: 4.3

矢量: AV:N/AC:L/Au:N/C:N/I:N/A:P

时间矢量: E:ND/RL:OF/RC:C

漏洞信息

CPE: p-cpe:/a:redhat:enterprise_linux:glibc, p-cpe:/a:redhat:enterprise_linux:glibc-common, p-cpe:/a:redhat:enterprise_linux:glibc-debuginfo, p-cpe:/a:redhat:enterprise_linux:glibc-debuginfo-common, p-cpe:/a:redhat:enterprise_linux:glibc-devel, p-cpe:/a:redhat:enterprise_linux:glibc-headers, p-cpe:/a:redhat:enterprise_linux:glibc-static, p-cpe:/a:redhat:enterprise_linux:glibc-utils, p-cpe:/a:redhat:enterprise_linux:nscd, cpe:/o:redhat:enterprise_linux:6, cpe:/o:redhat:enterprise_linux:6.6

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

易利用性: No known exploits are available

补丁发布日期: 2015/1/7

漏洞发布日期: 2014/11/24

参考资料信息

CVE: CVE-2014-6040, CVE-2014-7817

BID: 69472, 71216

RHSA: 2015:0016