检测

MagicLinux 7gnutls-3.3.26-9.el7 (AXSA:2017-2203:01)

critical Nessus 插件 ID 289308

语言:

简介

远程iraclelinux 主机缺少一个或多个安全更新。

描述

远程iraclelinux 7 主机上存在安装的程序包该程序包受到 AXSA:2017-2203:01 公告中提及的多个漏洞的影响。

 GnuTLS 是一个安全通信库,实现了 SSL、TLS 和 DTLS 协议以及与这些协议相关的技术。它提供了一个简单的 C 语言应用程序编程接口 (API) 来访问安全通信协议以及 API 来解析和写入 X.509、PKCS #12、OpenPGP 和其他所需结构。
 CVE-2016-7444 在低于 3.4.15 和 3.5.43.5.x 之前的 GnuTLS 中lib/x509/ocsp.c 的 gnutls_ocsp_resp_check_crt 函数未验证 OCSP 响应的序列长度这可能允许远程攻击者通过涉及的矢量绕过预期的证书验证机制。 gnutls_malloc 留下的尾部字节。
 CVE-2017-53343.3.26 ] 之前的 GnuTLS和 3.5.83.5.x 之前的 GnuTLS 中的 gnutls_x509_ext_import_proxy 函数存在双重释放漏洞可允许远程攻击者通过具有代理证书信息扩展的 X.509 证书中构建的策略语言信息产生不明影响。
 CVE-2017-5335 在低于 3.3.26 和 3.5.x 之前的 GnuTLS 中lib/opencdk/read-packet.c 中的流读取函数 3.5.8 允许远程攻击者通过构建的 OpenPGP 造成拒绝服务内存不足错误和崩溃。证书。
 CVE-2017-5336 在低于 3.3.26 的GnuTLS 和低于 3.5.x3.5.8 的 GnuTLS 中lib/opencdk/pubkey.c 中的 cdk_pk_get_keyid 函数存在基于堆栈的缓冲区溢出远程攻击者可通过构建的 OpenPGP 证书造成不明影响。
 CVE-2017-5337 在低于 3.3.26 的GnuTLS 和低于 3.5.x3.5.8 的 GnuTLS 中read_attribute 函数存在多个基于堆的缓冲区溢出这使得远程攻击者能够通过构建的 OpenPGP 证书产生不明影响。
 CVE-2017-7507 GnuTLS 版本 3.5.12 和较早版本在解码含有有效内容的状态响应 TLS 扩展时容易受到空指针取消引用的影响。这可导致 GnuTLS 服务器应用程序崩溃。
 CVE-2017-7869 2017 年 2 月 20 日之前的 GnuTLS 存在越界写入此漏洞是由与 opencdk/read-packet.c 中的 cdk_pkt_read 函数相关的整数溢出和基于堆的缓冲区溢出造成的。此问题是供应商 GNUTLS-SA-2017-3 报告的一个子集。已在 3.5.10中修复。

Tenable 已直接从MiracleLinux 安全公告中提取上述描述块。

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的程序包。

另见

https://tsn.miraclelinux.com/en/node/8643

插件详情

严重性: Critical

ID: 289308

文件名: miracle_linux_AXSA-2017-2203.nasl

版本: 1.1

类型: local

发布时间: 2026/1/16

最近更新时间: 2026/1/16

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

Vendor

Vendor Severity: Moderate

CVSS v2

风险因素: High

基本分数: 7.5

时间分数: 5.5

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 分数来源: CVE-2017-5337

CVSS v3

风险因素: Critical

基本分数: 9.8

时间分数: 8.5

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: cpe:/o:miracle:linux:7, p-cpe:/a:miracle:linux:gnutls-devel, p-cpe:/a:miracle:linux:gnutls-utils, p-cpe:/a:miracle:linux:gnutls-c%2b%2b, p-cpe:/a:miracle:linux:gnutls-dane, p-cpe:/a:miracle:linux:gnutls

必需的 KB 项: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu

易利用性: No known exploits are available

补丁发布日期: 2017/9/14

漏洞发布日期: 2016/9/2

参考资料信息

CVE: CVE-2016-7444, CVE-2017-5334, CVE-2017-5335, CVE-2017-5336, CVE-2017-5337, CVE-2017-7507, CVE-2017-7869