Scientific Linux 安全更新:SL7.x x86_64 中的 binutils
high Nessus 插件 ID 87550
语言:
简介
远程 Scientific Linux 主机缺少一个或多个安全更新。描述
发现各 binutils 实用工具所使用的 libbdf 库存在多种缓冲区溢出缺陷。如果用户受到诱骗,在应用程序中使用 libbdf 库处理特别构建的文件,则可能导致该应用程序崩溃,或执行任意代码。(CVE-2014-8485、CVE-2014-8501、CVE-2014-8502、CVE-2014-8503、CVE-2014-8504、CVE-2014-8738)在各 binutils 实用工具所使用的 libbdf 库中发现整数溢出缺陷。如果用户受到诱骗,在应用程序中使用 libbdf 库处理特别构建的文件,则可能导致该应用程序崩溃。(CVE-2014-8484)
在 strip 和 objcopy 实用工具中发现目录遍历缺陷。特别构建的文件可导致 strip 或 objdump 对运行其中任何实用工具的用户具备写入权限的任意文件进行覆盖。(CVE-2014-8737)
此更新修复了以下缺陷:
- 对于由系统加载程序启动的二进制文件而言,即使在构建应用程序时对其进行明确的请求,仍可能缺少重定位只读 (RELRO)保护。
已在多种架构中修复此缺陷。
应重新构建使用 binutils 的 alpha 或 beta 版本构建的应用程序及所有依存对象文件、存档和库,以修正此缺陷。
- 64 位 PowerPC 中的 ld 链接器在接收到非 PowerPC 格式二进制的生成请求时,现在能够正确检查输出格式。
- 已持久化为正在调试的二进制保留符号表的重要变量,且 64 位 PowerPC 上的 objdump 实用程序现已可以访问所需信息,而不会读取无效的内存区域。
- SLBA-2015:0974 中描述的不良运行时重定位。
此更新添加了以下增强:
- 组装器、拆装器和链接器现已支持 IBM z Systems z13 的新硬件指令以及单一指令和多个数据 (SIMD) 指令。
- “FUNC@localentry”形式的表达式用于表示 FUNC 函数(如果已定义)的本地入口点,现由 PowerPC 组装器支持。这些是 IBM Power 系统的 little-endian 变体中的 ELFv2 ABI 所必需的。
解决方案
更新受影响的 binutils、binutils-debuginfo 和/或 binutils-devel 程序包。另见
插件详情
严重性: High
ID: 87550
文件名: sl_20151119_binutils_on_SL7_x.nasl
版本: 2.4
类型: local
代理: unix
发布时间: 2015/12/22
最近更新时间: 2021/1/14
支持的传感器: Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 6.7
CVSS v2
风险因素: High
基本分数: 7.5
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
漏洞信息
CPE: p-cpe:/a:fermilab:scientific_linux:binutils, p-cpe:/a:fermilab:scientific_linux:binutils-debuginfo, p-cpe:/a:fermilab:scientific_linux:binutils-devel, x-cpe:/o:fermilab:scientific_linux
必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
补丁发布日期: 2015/11/19
漏洞发布日期: 2014/12/9
参考资料信息
CVE: CVE-2014-8484, CVE-2014-8485, CVE-2014-8501, CVE-2014-8502, CVE-2014-8503, CVE-2014-8504, CVE-2014-8737, CVE-2014-8738