SUSE SLED11 / SLES11 安全更新:glibc (SUSE-SU-2015:1424-1)
medium Nessus 插件 ID 85624
语言:
简介
远程 SUSE 主机缺少一个或多个安全更新。描述
glibc 的此更新为安全问题和非安全问题提供了补丁。已修复这些安全问题:
- CVE-2015-1781:resolv/nss_dns/dns-host.c 中的填充之后的缓冲区长度。(bsc#927080)
- CVE-2013-2207:pt_chown 未正确检查 tty 文件的权限,这允许本地用户通过利用 FUSE 文件系统来更改文件的权限,并且获取任意伪终端的访问权限。(bsc#830257)
- CVE-2014-8121:名称服务转换 (NSS) 中的 DB_LOOKUP 未正确检查文件是否打开,这允许远程攻击者通过在迭代数据库时执行查找(触发文件指针重置)来造成拒绝服务(无限循环)。(bsc#918187)
- 修复读取超出 fnmatch 中的模式结尾。(bsc#920338)
这些非安全问题已修复:
- 修复 _IO_flush_all_lockp() 中的锁定以防止应用程序中出现死锁。(bsc#851280)
- 也为 DNS PTR 查询记录 TTL。(bsc#928723)
- 修复 ld.so 中的无效释放。(bsc#932059)
- 使 PowerPC64 默认为非可执行的堆栈。
(bsc#933770)
- 使用 exp() 和好友修复某些情况中的浮点异常。(bsc#933903)
- 修复 glibc.i686 中错误的 TEXTREL。(bsc#935286)
请注意,Tenable Network Security 已直接从 SUSE 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下尽可能进行了自动整理和排版。
解决方案
请使用 YaST online_update 安装此 SUSE 安全更新。或者,可以运行为产品列出的命令:
SUSE Linux Enterprise 软件开发工具包 11-SP4:
zypper in -t patch sdksp4-glibc-12042=1
SUSE Linux Enterprise 软件开发工具包 11-SP3:
zypper in -t patch sdksp3-glibc-12042=1
SUSE Linux Enterprise Server for VMWare 11-SP3:
zypper in -t patch slessp3-glibc-12042=1
SUSE Linux Enterprise Server 11-SP4:
zypper in -t patch slessp4-glibc-12042=1
SUSE Linux Enterprise Server 11-SP3:
zypper in -t patch slessp3-glibc-12042=1
SUSE Linux Enterprise Desktop 11-SP4:
zypper in -t patch sledsp4-glibc-12042=1
SUSE Linux Enterprise Desktop 11-SP3:
zypper in -t patch sledsp3-glibc-12042=1
SUSE Linux Enterprise Debuginfo 11-SP4:
zypper in -t patch dbgsp4-glibc-12042=1
SUSE Linux Enterprise Debuginfo 11-SP3:
zypper in -t patch dbgsp3-glibc-12042=1
要使系统保持最新状态,请使用“zypper 修补程序”。
另见
https://bugzilla.suse.com/show_bug.cgi?id=830257
https://bugzilla.suse.com/show_bug.cgi?id=851280
https://bugzilla.suse.com/show_bug.cgi?id=918187
https://bugzilla.suse.com/show_bug.cgi?id=920338
https://bugzilla.suse.com/show_bug.cgi?id=927080
https://bugzilla.suse.com/show_bug.cgi?id=928723
https://bugzilla.suse.com/show_bug.cgi?id=932059
https://bugzilla.suse.com/show_bug.cgi?id=933770
https://bugzilla.suse.com/show_bug.cgi?id=933903
https://bugzilla.suse.com/show_bug.cgi?id=935286
https://www.suse.com/security/cve/CVE-2013-2207/
https://www.suse.com/security/cve/CVE-2014-8121/
插件详情
严重性: Medium
ID: 85624
文件名: suse_SU-2015-1424-1.nasl
版本: 2.10
类型: local
代理: unix
发布时间: 2015/8/25
最近更新时间: 2021/1/6
支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent
风险信息
VPR
风险因素: Medium
分数: 5.9
CVSS v2
风险因素: Medium
基本分数: 6.8
时间分数: 5
矢量: AV:N/AC:M/Au:N/C:P/I:P/A:P
时间矢量: E:U/RL:OF/RC:C
漏洞信息
CPE: p-cpe:/a:novell:suse_linux:glibc, p-cpe:/a:novell:suse_linux:glibc-devel, p-cpe:/a:novell:suse_linux:glibc-html, p-cpe:/a:novell:suse_linux:glibc-i18ndata, p-cpe:/a:novell:suse_linux:glibc-info, p-cpe:/a:novell:suse_linux:glibc-locale, p-cpe:/a:novell:suse_linux:glibc-profile, p-cpe:/a:novell:suse_linux:nscd, cpe:/o:novell:suse_linux:11
必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
易利用性: No known exploits are available
补丁发布日期: 2015/7/31
漏洞发布日期: 2013/10/9