Oracle Linux 7：cpio (ELSA-2015-2108)

medium Nessus 插件 ID 87021

语言：

简介

远程 Oracle Linux 主机缺少安全更新。

描述

来自 Red Hat 安全公告 2015:2108：

更新后的 cpio 程序包修复了一个安全问题和两个缺陷，现在可用于 Red Hat Enterprise Linux 7。

Red Hat 产品安全团队将此更新评级为具有中等安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数，其给出了详细的严重性等级。

cpio 程序包提供 GNU cpio 实用工具，用于创建和提取归档文件，或者将文件复制到其他位置。

在 cpio 的 list_file() 函数中发现一个基于堆的缓冲区溢出缺陷。攻击者可提供特别构建的归档文件，从而导致 cpio 在处理该文件时崩溃，或执行任意代码。(CVE-2014-9112)

此更新修复了以下缺陷：

* 以前，创建归档文件时 cpio 内部不会检测出 read() 系统调用失败。cpio 会假定调用成功，随即出现分段错误并意外终止，而不会处理更多文件。已修复底层源代码，现在可以成功创建归档文件。(BZ#1138148)

* 以前，在使用俄语作为默认语言的 Red Hat Enterprise Linux 7 上运行不包含参数的 cpio 命令会导致出现错误消息，且该消息的俄语显示不准确，其中存在拼写错误。已修正此问题，现在该俄语错误消息拼写正确。(BZ#1075513)

建议所有 cpio 用户升级这些更新后的程序包，其中包含用于修正这些问题的向后移植的修补程序。

解决方案

更新受影响的 cpio 程序包。

另见

https://oss.oracle.com/pipermail/el-errata/2015-November/005553.html

插件详情

严重性: Medium

ID: 87021

文件名: oraclelinux_ELSA-2015-2108.nasl

版本: 1.7

类型: local

代理: unix

系列: Oracle Linux Local Security Checks

发布时间: 2015/11/24

最近更新时间: 2021/1/14

支持的传感器: Frictionless Assessment Agent, Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 4.4

CVSS v2

风险因素: Medium

基本分数: 5

时间分数: 3.7

矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P

漏洞信息

CPE: p-cpe:/a:oracle:linux:cpio, cpe:/o:oracle:linux:7

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/OracleLinux

易利用性: No known exploits are available

补丁发布日期: 2015/11/23

漏洞发布日期: 2014/12/2

参考资料信息

CVE: CVE-2014-9112

RHSA: 2015:2108