检测

MagicLinux 4file-5.04-21.AXS4 (AXSA:2014-614:01)

high Nessus 插件 ID 289706

语言:

简介

远程iraclelinux 主机缺少一个或多个安全更新。

描述

远程MiracleLinux 4 主机上存在安装的程序包该程序包受到 AXSA:2014-614:01 公告中提及的多个漏洞的影响。

 描述:
 file 命令用于根据文件包含的数据类型识别特定文件。File 可以识别许多不同的文件类型包括 ELF 二进制文件、系统库、RPM 程序包和不同的图形格式。
 此版本修复的安全问题
 5.11 和 libmagic 之前的 [CVE-2012-1571 文件允许远程攻击者通过构建的可触发 (1) 越界读取或 (2) 无效指针取消引用的复合文档文件 (CDF) 文件造成拒绝服务崩溃。
 CVE-2014-0237 在低于 5.4.29 和低于 5.5.x5.5.13 的 PHP 的 Fileinfo 组件中cdf.c 的 cdf_unpack_summary_info 函数可让远程攻击者通过触发很多 file_printf 调用造成拒绝服务性能降低。
 CVE-2014-0238 在 5.4.29 之前的 PHP 和 5.5.135.5.x 之前的 PHP 中cdf.c 中的 cdf_read_property_info 函数允许远程攻击者通过以下向量造成拒绝服务无限循环或越界内存访问1) 为零长度或 (2) 过长。
 CVE-2014-19435.17 之前的 Fine 免费文件允许上下文有关的攻击者通过 file 的 magic 中构建的间接偏移值来造成拒绝服务无限递归、CPU 消耗和崩溃。
 [ 5.17 和 libmagic 之前的 file 中的CVE-2014-2270 softmagic.c 允许上下文有关的攻击者通过 PE 可执行文件的 softmagic 中构建的偏移造成拒绝服务越界内存访问和崩溃。
 CVE-2014-3479 [ 5.19之前的 file 的 cdf.c 中的 cdf_check_stream_offset 函数在 PHP 之前版本 5.4.30 和 之前的 5.5.x5.5.14的 Fileinfo 组件中使用时依赖不正确的扇区大小数据这允许远程攻击者造成拒绝服务应用程序崩溃通过 CDF 文件中构建的流偏移。
 CVE-2014-3480 在 5.19之前的 PHP 和 5.5.x5.4.30 之前的 PHP 的 Fileinfo 组件中使用时在 5.5.14之前的 file 中cdf.c 的 cdf_count_chain 函数未正确验证扇区计数数据允许远程攻击者造成拒绝或通过构建的 CDF 文件导致服务应用程序崩溃。
 修复的缺陷:
 与之前的版本相比,此更新包含多项缺陷补丁和增强。
 请参阅变更日志以获取更多信息。

Tenable 已直接从MiracleLinux 安全公告中提取上述描述块。

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的程序包。

另见

https://tsn.miraclelinux.com/en/node/5072

插件详情

严重性: High

ID: 289706

文件名: miracle_linux_AXSA-2014-614.nasl

版本: 1.1

类型: local

发布时间: 2026/1/16

最近更新时间: 2026/1/16

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 4.4

Vendor

Vendor Severity: Moderate

CVSS v2

风险因素: Medium

基本分数: 5

时间分数: 3.9

矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P

CVSS 分数来源: CVE-2014-1943

CVSS v3

风险因素: High

基本分数: 7.5

时间分数: 6.7

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

CVSS 分数来源: CVE-2014-0238

漏洞信息

CPE: p-cpe:/a:miracle:linux:file-devel, p-cpe:/a:miracle:linux:python-magic, p-cpe:/a:miracle:linux:file-libs, cpe:/o:miracle:linux:4, p-cpe:/a:miracle:linux:file

必需的 KB 项: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu

可利用: true

易利用性: Exploits are available

补丁发布日期: 2014/10/21

漏洞发布日期: 2012/2/29

参考资料信息

CVE: CVE-2012-1571, CVE-2014-0237, CVE-2014-0238, CVE-2014-1943, CVE-2014-2270, CVE-2014-3479, CVE-2014-3480