MagicLinux 4libguestfs-1.20.11-2.0.1.AXS4 (AXSA:2014-288:02)
high Nessus 插件 ID 289866
语言:
简介
远程iraclelinux 主机缺少安全更新。描述
远程iraclelinux 4 主机上存在安装的程序包该程序包受到 AXSA:2014-288:02 公告中提及的漏洞的影响。Libguestfs 是用于访问和修改客户机磁盘映像的库。此功能最适用于以下情况:对客户机进行批量配置更改获取磁盘已使用/可用统计数据另请参阅virt-df在虚拟化系统之间迁移另请参阅virt-p2v执行部分备份、执行部分客户机克隆、克隆客户机和更改注册表/UUID/主机名信息等等。
Libguestfs 使用 Linux 内核和 qemu 代码可以访问 Linux 和 qemu 可以访问的任何类型的客户机文件系统包括但不限于ext2/3/4、btrfs、FAT 和 NTFS、LVM、许多不同的磁盘分区方案、qcow、 qcow2、vmdk。
Libguestfs 提供枚举客户机存储例如分区、LV、每个 LV 是什么文件系统等的方式。它还可以在客户机上下文中运行命令。
Libguestfs 是一个可与 C 和 C++ 管理程序链接的库。
如需高级 virt 工具、guestfishshell 脚本和命令行访问和 guestmount使用 FUSE 挂载客户机文件系统请安装“libguestfs-tools”。
对于 shell 脚本和命令行访问请安装“guestfish”。
要使用 FUSE 挂载主机上的客户机文件系统请安装“libguestfs-mount”。
对于 Java 绑定请安装“libguestfs-java-devel”。
对于 OCaml 绑定安装“ocaml-libguestfs-devel”。
对于 Perl 绑定请安装“perl-Sys-Guestfs”。
对于 Python 绑定请安装“python-libguestfs”。
对于 Ruby 绑定请安装“ruby-libguestfs”。
此版本修复的安全问题
CVE-2013-4419 libguestfs 1.20.12、 1.22.7和更早版本中的 guestfish 命令使用 --remote 或 --listen 选项时没有正确检查 /tmp/.guestfish- 的所有权$UID/ 在此目录中创建临时套接字文件时其中允许本地用户通过提前创建 /tmp/.guestfish-$UID/ 来写入套接字并执行任意命令。
修复的缺陷:
删除了 buildnet构建现在会自动检测网络。
向后移植新 API part-get-gpt-type 和 part-set-gpt-type 修复了因检查特定客户机文件/图像时的双重释放缺陷而导致的 DoS中止。
以前libguestfs 无法检测使用非默认 systemroot 路径的 MS Windows 客户机。已修复此问题现在使用 boot.ini 文件查找 systemroot 路径。
向 guestfish 添加了返回状态命令。
以前如果未指定目标大小ntfsresize 会失败。此问题已得到修复libguestfs 现在会自动建立目标存储设备的大小。
修复了 txz-out API。
已将 virt-sysprep 移动到 libguestfs-tools-c 程序包因为它不再是 shell 脚本。
修复了主机名检查由于 Augeas 路径表达式而错误的问题 以前在添加 rive 时使用 iface 参数libguestfs 进入无限循环。此问题已得到修复。
向 virt-resize 文档添加了有关调整 Windows 磁盘映像大小的说明删除了 lsscsi 上的依存关系。
修复了 yum 缓存复制使其在存在多个存储库时起作用。
修复了 hivex-commit API 因相对路径而失败。
改进了 filesystem-available API 的文档。
修复了启动期间内核链接失败时的双重释放 修复了 virt-sysprep --firstboot 选项。
修复了 cap-get-file使其在无端点时返回空字符串而不是错误。
改进了 acl-set-file 的文档。
修复了使用 guestfish 时的虚假 waitpid 错误消息 --remote。
禁用了 9p 支持。
记录了 guestfish --remote 在使用某些其他参数时无法正常工作。
以前在重负载下调试输出中会显示消息。 libguestfs 现在检查是否启用了 kvmclock 内核功能这可减少输出。
以前如果未在运行 guestfs_sh 或 sh 命令之前挂载文件系统guestfish 实用工具会因分段错误而崩溃。guestfish 中已添加检查如果未挂载文件系统则报告错误消息。
添加了对 tar-out“excludes”的各种补丁。
记录了 glob + rsync-out 的使用。
记录的 mke2fs blockcount。
Tenable 已直接从MiracleLinux 安全公告中提取上述描述块。
请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
更新受影响的程序包。另见
插件详情
严重性: High
ID: 289866
文件名: miracle_linux_AXSA-2014-288.nasl
版本: 1.1
类型: local
发布时间: 2026/1/16
最近更新时间: 2026/1/16
支持的传感器: Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 5.9
Vendor
Vendor Severity: High
CVSS v2
风险因素: Medium
基本分数: 6.8
时间分数: 5
矢量: CVSS2#AV:A/AC:H/Au:N/C:C/I:C/A:C
CVSS 分数来源: CVE-2013-4419
CVSS v3
风险因素: High
基本分数: 7.8
时间分数: 6.8
矢量: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: p-cpe:/a:miracle:linux:libguestfs-java, p-cpe:/a:miracle:linux:libguestfs-tools, p-cpe:/a:miracle:linux:libguestfs-tools-c, p-cpe:/a:miracle:linux:perl-sys-guestfs, cpe:/o:miracle:linux:4, p-cpe:/a:miracle:linux:python-libguestfs, p-cpe:/a:miracle:linux:libguestfs
必需的 KB 项: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu
易利用性: No known exploits are available
补丁发布日期: 2014/5/5
漏洞发布日期: 2013/10/9
参考资料信息
CVE: CVE-2013-4419