检测

Oracle Linux 10binutils (ELSA-2025-23306)

medium Nessus 插件 ID 279467

语言:

简介

远程 Oracle Linux 主机缺少一个或多个安全更新。

描述

远程 Oracle Linux 10 主机上安装的多个程序包受到 ELSA-2025-23306 公告中提及的多个漏洞影响。

 - CVE-2025-11082
 - CVE-2025-11083 Reviewed-by: David Faust <[email protected]> Oracle history
 2025 年 9 月 29 日 David Faust <[email protected]> - 2.41-58.0.1
 - 将 Oracle 修补程序向前移植到 2.41-58。
 已审核人:Jose E. Marchesi <[email protected]> 2025 年 8 月 29 日 Bruce McCulloch <[email protected]> - 2.41-57.0.1
 - 将 Oracle 修补程序向前移植到 2.41-57。
 已审核人Jose E. Marchesi <[email protected]> 2025 年 6 月 4 日 Bruce McCulloch <[email protected]> - 2.41-53.0.3
 - 添加 binutils-orabug-38018827.patch。
 - 修复了 ctf_dict_open 重写 errno。
 - 上游提交的向后移植
 - 14303d6295e libctfarchive, open打开时始终将 errp 设置为某些内容。
 - [Orabug: 38018827]
 - 添加 binutils-orabug-38018828.patch。
 - 在内核链接中只有在发生冲突时才正确隐藏 CTF 类型。
 - 上游提交的向后移植
 - 75e514cfa56 恢复“libctf 修复非根可见类型的链接”
 - 002957be18e libctf dedup改进同一个 dict 中冲突类型的隐藏
 - [Orabug: 38018828] 审阅者Jose E. Marchesi <[email protected]> 审阅者:Nick Alcock <[email protected]> 审阅者Elena Zannoni <[email protected]> 2025 年 5 月 28 日 Vladimir Mezentsev <[email protected]> - 2.41-53.0.2
 - 向后移植 gprofng 的更新。
 已审核人:Bruce McCulloch <[email protected]> 2025 年 4 月 Bruce McCulloch <[email protected]> - 2.41-53.0.1
 - 将 Oracle 补丁合并到 2.41-53。
 已审核人:Jose E. Marchesi <[email protected]> 2024 年 11 月 28 日 Nick Alcock <[email protected]> - 2.41-45.0.1
 - 来自上游的最新 CTF 变更
 - 添加 ctf_dict_set_flag、ctf_lookup_enumerator、ctf_lookup_enumerator_next、ctf_arc_lookup_enumerator_next考虑具有不同枚举数的 enum 产生冲突
 - 为 ctf-api.h 添加文档
 - 允许修改 ctf_opened dicts 允许打开 foreign-endian 的较旧 dicts
 - 如果可能按名称查找类型首选非位字段
 - 针对父传播、现有 dicts 重写、ctf_archive_count、CU 映射链接以及非根不可见类型的转储和链接的缺陷补丁。
 - 修复一些小泄漏和一个大泄漏针对 ctf_open 错误
 - 修复 ctf_rollback 和 writeout 之后到已释放内存的写入
 - 序列化、名称查找、符号查找、字符串处理等的内部改进
 - 明确禁用 zstd 支持启用需要将 zstd 添加到 .so 脚本

Tenable 已直接从 Oracle Linux 安全公告中提取上述描述块。

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的程序包。

另见

https://linux.oracle.com/errata/ELSA-2025-23306.html

插件详情

严重性: Medium

ID: 279467

文件名: oraclelinux_ELSA-2025-23306.nasl

版本: 1.1

类型: local

代理: unix

发布时间: 2025/12/20

最近更新时间: 2025/12/20

支持的传感器: Frictionless Assessment Agent, Nessus Agent, Continuous Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: Medium

基本分数: 4.3

时间分数: 3.4

矢量: CVSS2#AV:L/AC:L/Au:S/C:P/I:P/A:P

CVSS 分数来源: CVE-2025-11083

CVSS v3

风险因素: High

基本分数: 7.8

时间分数: 7

矢量: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

CVSS v4

风险因素: Medium

Base Score: 4.8

Threat Score: 1.9

Threat Vector: CVSS:4.0/E:P

Vector: CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N

漏洞信息

CPE: p-cpe:/a:oracle:linux:binutils, p-cpe:/a:oracle:linux:binutils-devel, p-cpe:/a:oracle:linux:binutils-gold, cpe:/o:oracle:linux:10, cpe:/o:oracle:linux:10:1:baseos_patch, p-cpe:/a:oracle:linux:binutils-gprofng

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/OracleLinux

可利用: true

易利用性: Exploits are available

补丁发布日期: 2025/12/19

漏洞发布日期: 2025/9/27

参考资料信息

CVE: CVE-2025-11082, CVE-2025-11083

IAVA: 2025-A-0890