OracleVM 3.3 / 3.4:bash (OVMSA-2017-0050)

high Nessus 插件 ID 99077

简介

远程 OracleVM 主机缺少安全更新。

描述

远程 OracleVM 系统缺少解决关键安全更新的必要补丁:

- 修复 read 内置命令中的信号处理,解决:#1421926

- CVE-2016-9401 - 修复将“-”作为第二个符号传递至 popd 时发生崩溃的问题,解决:#1396383

- CVE-2016-7543 - 针对通过 SHELLOPTS+PS4 变量执行任意代码的补丁,解决:#1379630

- CVE-2016-0634 - 针对通过恶意主机名执行任意代码的补丁,解决:#1377613

- 避免在扩展长字符串时参数扩展发生崩溃,解决:#1359142

- 收到 SIGHUP 时停止读取输入,解决:
#1325753

- Bash 在参数扩展中执行模式删除时泄露内存,解决:#1283829

- 修复关机时保存 bash 历史记录过程中存在的争用条件,解决:#1325753

- 未安装 dbger 的情况下,Bash 不应忽略 bash --debugger,相关:#1260568

- for 循环和括号内存在错误解析,解决:
#1207803

- IFS 未正确拆分 herestrings,解决:#1250070

- 子 shell 的 for 循环中的情况导致语法错误,解决:#1240994

- 未安装 dbger 的情况下,Bash 不应忽略 bash --debugger,解决:#1260568

- Bash 在反复执行 pattern-subst 时泄露内存,解决:#1207042

- Bash 在收到信号时挂起,解决:#868846

解决方案

更新受影响的 bash 程序包。

另见

http://www.nessus.org/u?49d2a21e

http://www.nessus.org/u?85c795b3

插件详情

严重性: High

ID: 99077

文件名: oraclevm_OVMSA-2017-0050.nasl

版本: 3.7

类型: local

发布时间: 2017/3/30

最近更新时间: 2022/1/31

支持的传感器: Nessus

风险信息

VPR

风险因素: High

分数: 7.4

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 7.8

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS v3

风险因素: High

基本分数: 8.4

时间分数: 7.6

矢量: CVSS:3.0/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:oracle:vm:bash, cpe:/o:oracle:vm_server:3.3, cpe:/o:oracle:vm_server:3.4

必需的 KB 项: Host/local_checks_enabled, Host/OracleVM/release, Host/OracleVM/rpm-list

可利用: true

易利用性: Exploits are available

补丁发布日期: 2017/3/29

漏洞发布日期: 2014/9/24

CISA 已知可遭利用的漏洞到期日期: 2022/7/28

参考资料信息

CVE: CVE-2014-7169, CVE-2016-0634, CVE-2016-7543, CVE-2016-9401

BID: 70137