检测

MagicLinux 4kernel-2.6.32-431.20.3.el6 (AXSA:2014-454:03)

high Nessus 插件 ID 291494

语言:

简介

远程iraclelinux 主机缺少一个或多个安全更新。

描述

远程iraclelinux 4 主机上存在安装的程序包该程序包受到 AXSA:2014-454:03 公告中提及的多个漏洞的影响。

 kernel 程序包中包含 Linux 内核 (vmlinuz)它是任何 Linux 操作系统的核心。内核处理操作系统的基本功能:内存分配、进程分配、设备输入和输出等。
 此版本修复的安全问题
 CVE-2013-6378 及之前 3.12.1 版本的 Linux 内核中 drivers/net/wireless/libertas/debugfs.c 的 lbs_debugfs_write 函数可让本地用户利用零长度写操作的根权限造成拒绝服务 (OOPS)。
 CVE-2014-0203 在 2.6.33 之前版本的 Linux 内核中fs/namei.c 的 __do_follow_link 函数在使用特定文件系统的过程中未正确处理最后一个路径名组件这可允许本地用户造成拒绝服务错误的释放操作和系统崩溃。通过 open 系统调用。
 CVE-2014-1737 在 3.14.3 及之前版本的 Linux 内核中drivers/block/floppy.c 的 raw_cmd_copyin 函数在处理 FDRAWCMD ioctl 调用期间未正确处理错误情况这可允许本地用户利用对 的写入访问触发 kfree 操作并获取权限/dev/fd 设备。
 CVE-2014-1738 在 3.14.3 及之前版本的 Linux 内核中drivers/block/floppy.c 的 raw_cmd_copyout 函数在 FDRAWCMD ioctl 调用的处理期间未正确限制对某些指针的访问其可允许本地用户利用/dev/fd 设备的写入权限。
 CVE-2014-1874 在 3.13.4 之前版本的 Linux 内核中security/selinux/ss/services.c 的 security_context_to_sid_core 函数允许本地用户利用 CAP_MAC_ADMIN 功能设置零长度的安全环境从而造成拒绝服务系统崩溃。
 CVE-2014-2039 ] 在 s390 平台上 3.13.5 之前的 Linux 内核中的 arch/s390/kernel/head64.S 未正确处理使用链接堆栈的尝试这允许本地用户通过执行构建的指令 CVE-2014-3153 在 3.14.5 之前版本的 Linux 内核中kernel/futex.c 的 futex_requeue 函数无法确保调用含有两个不同的 futex 地址这可允许本地用户通过便于不安全等待程序进行修改的构建的 FUTEX_REQUEUE 命令获取权限。
 修复的缺陷:
 此更新还修复多个缺陷。

Tenable 已直接从MiracleLinux 安全公告中提取上述描述块。

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的程序包。

另见

https://tsn.miraclelinux.com/en/node/4898

插件详情

严重性: High

ID: 291494

文件名: miracle_linux_AXSA-2014-454.nasl

版本: 1.2

类型: Local

发布时间: 2026/1/19

最近更新时间: 2026/2/5

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Critical

分数: 9.7

Vendor

Vendor Severity: Moderate

CVSS v2

风险因素: High

基本分数: 7.2

时间分数: 6.3

矢量: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C

CVSS 分数来源: CVE-2014-3153

CVSS v3

风险因素: High

基本分数: 7.8

时间分数: 7.5

矢量: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:H/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:miracle:linux:kernel-debug, p-cpe:/a:miracle:linux:perf, p-cpe:/a:miracle:linux:kernel, p-cpe:/a:miracle:linux:kernel-headers, cpe:/o:miracle:linux:4, p-cpe:/a:miracle:linux:kernel-firmware, p-cpe:/a:miracle:linux:kernel-abi-whitelists, p-cpe:/a:miracle:linux:kernel-debug-devel, p-cpe:/a:miracle:linux:kernel-devel

必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list

可利用: true

易利用性: Exploits are available

补丁发布日期: 2014/7/17

漏洞发布日期: 2013/11/22

CISA 已知可遭利用的漏洞到期日期: 2022/6/15

可利用的方式

CANVAS (CANVAS)

Core Impact

Metasploit (Android Towelroot Futex Requeue Kernel Exploit)

参考资料信息

CVE: CVE-2013-6378, CVE-2014-0203, CVE-2014-1737, CVE-2014-1738, CVE-2014-1874, CVE-2014-2039, CVE-2014-3153