MagicLinux 7glibc-2.17-105.el7 (AXSA:2015-569:01)
critical Nessus 插件 ID 289843
语言:
简介
远程iraclelinux 主机缺少一个或多个安全更新。描述
远程iraclelinux 7 主机上存在安装的程序包该程序包受到 AXSA:2015-569:01 公告中提及的多个漏洞的影响。glibc 程序包包含由系统上的多个程序使用的标准库。为了节省磁盘空间和内存并使升级更容易,通用系统代码会保留在一处并在程序之间共享。此特定程序包中包含最重要的共享库集标准 C 库和标准 math 库。没有这两个库Linux 系统将无法运行。
此版本修复的安全问题
CVE-2013-7423 在低于 2.20 的 GNU C 库亦即 glibc 或 libc6中resolv/res_send.c 中的 send_dg 函数未正确重用文件描述符这允许远程攻击者通过触发 的大量请求将 DNS 查询发送到非预期位置。对 getaddrinfo 函数的调用。
CVE-2015-14722.21 之前的 GNU C 库也称为 glibc 或 libc6中stdio-common/vfscanf.c 中的 ADDW 宏在内存分配期间未正确考虑数据类型大小这允许上下文有关的攻击者造成拒绝服务缓冲区溢出或可能通过包含 wscanf 调用中未正确处理的宽字符的长行产生其他不明影响。
CVE-2015-1473 在 2.21 之前版本的 GNU C 库又称为 glibc 或 libc6中stdio-common/vfscanf.c 中的 ADDW 宏在就 alloca 函数的使用进行风险管理决策期间未正确考虑数据类型大小这可能会允许上下文有关的攻击者通过包含 wscanf 调用中未正确处理的宽字符的长行造成拒绝服务分段冲突或超出堆栈边界覆盖内存位置。
CVE-2015-1781 在 2.22 之前的 GNU C 库也称为 glibc 或 libc6中gethostbyname_r 和其他不明 NSS 函数中存在缓冲区溢出允许上下文有关的攻击者通过构建的 DNS 响应造成拒绝服务崩溃或执行任意代码。它会通过未对齐的缓冲区触发调用。
修复的缺陷:
这些更新后的 glibc 程序包中还包括大量缺陷补丁和一项增强。
Tenable 已直接从MiracleLinux 安全公告中提取上述描述块。
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
更新受影响的程序包。另见
插件详情
严重性: Critical
ID: 289843
文件名: miracle_linux_AXSA-2015-569.nasl
版本: 1.1
类型: local
发布时间: 2026/1/16
最近更新时间: 2026/1/16
支持的传感器: Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 6.7
Vendor
Vendor Severity: Moderate
CVSS v2
风险因素: High
基本分数: 7.5
时间分数: 5.9
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS 分数来源: CVE-2015-1472
CVSS v3
风险因素: Critical
基本分数: 9.8
时间分数: 8.8
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
漏洞信息
CPE: cpe:/o:miracle:linux:7, p-cpe:/a:miracle:linux:glibc-devel, p-cpe:/a:miracle:linux:glibc-utils, p-cpe:/a:miracle:linux:glibc, p-cpe:/a:miracle:linux:nscd, p-cpe:/a:miracle:linux:glibc-headers, p-cpe:/a:miracle:linux:glibc-common
必需的 KB 项: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu
可利用: true
易利用性: Exploits are available
补丁发布日期: 2015/11/19
漏洞发布日期: 2013/9/12
参考资料信息
CVE: CVE-2013-7423, CVE-2015-1472, CVE-2015-1473, CVE-2015-1781