检测

MagicLinux 7kernel-3.10.0-1127.el7 (AXSA:2020-097:03)

critical Nessus 插件 ID 294025

语言:

简介

远程iraclelinux 主机缺少一个或多个安全更新。

描述

远程iraclelinux 7 主机上存在安装的程序包该程序包受到 AXSA:2020-097:03 公告中提及的多个漏洞的影响。

 * 内核:DVB connexant 驱动程序中存在越界读取。(CVE-2015-9289)
 * 内核缺少对 request_key() 目标的权限检查允许本地攻击者在没有写入权限的情况下将密钥添加到 keyring (CVE-2017-17807)
 * 内核:通过网络 tun 处理中的 ioctl 调用造成拒绝服务 (CVE-2018-7191)
 * 内核:usb:__usb_get_extra_descriptor() 中缺少大小检查,从而导致 DoS (CVE-2018-20169)
 * 内核:setuid 程序中的 perf_event_open() 和 execve() 争用会导致数据泄漏 (CVE-2019-3901)
 * 内核:brcmfmac 框架验证绕过 (CVE-2019-9503)
 * kernelhci_uart_set_flow_control 中的空指针取消引用 (CVE-2019-10207)
 * 内核:通过 HIDPCONNADD 命令从内核堆栈内存泄露敏感信息 (CVE-2019-11884)
 * 内核:在 drm_load_edid_firmw 中,fwstr 中未检查的 kstrdup 导致拒绝服务 (CVE-2019-12382)
 * 内核:arch/x86/lib/insn-eval.c 中存在释放后使用 (CVE-2019-13233)
 * 内核通过 sigreturn() 系统调用在 arch/powerpc/kernel/signal_32.c 和 arch/powerpc/kernel/signal_64.c 中造成拒绝服务CVE-2019-13648]
 * 内核:drivers/block/floppy.c 中存在整数溢出和 OOB 读取 (CVE-2019-14283)
 * 内核:net/core/net-sysfs.c 的 register_queue_kobjects() 中发生内存泄漏,导致拒绝服务 (CVE-2019-15916)
 * 内核WiFi 信标验证代码中的缓冲区溢出强化。 (CVE-2019-16746)
 * 内核:(powerpc) 不完整的 Spectre-RSB 缓解方案导致信息泄露 (CVE-2019-18660)
 * 内核:drivers/net/usb/hso.c 中存在 oob 内存读取 (CVE-2018-19985)
 * 内核:net:弱 IP ID 生成导致远程设备追踪 (CVE-2019-10638)
 * 内核:net:使用内核空间地址位派生 IP ID 可能中断 KASLR (CVE-2019-10639)
 * 内核由于 install_exec_creds() 过晚导致 setuid 二进制文件的 ASLR 绕过 (CVE-2019-11190)

Tenable 已直接从MiracleLinux 安全公告中提取上述描述块。

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的程序包。

另见

https://tsn.miraclelinux.com/en/node/11278

插件详情

严重性: Critical

ID: 294025

文件名: miracle_linux_AXSA-2020-097.nasl

版本: 1.1

类型: Local

发布时间: 2026/1/20

最近更新时间: 2026/1/20

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: High

分数: 7.3

Vendor

Vendor Severity: Moderate

CVSS v2

风险因素: High

基本分数: 7.9

时间分数: 6.2

矢量: CVSS2#AV:A/AC:M/Au:N/C:C/I:C/A:C

CVSS 分数来源: CVE-2019-9503

CVSS v3

风险因素: Critical

基本分数: 9.8

时间分数: 8.8

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

CVSS 分数来源: CVE-2019-16746

漏洞信息

CPE: p-cpe:/a:miracle:linux:kernel-tools, cpe:/o:miracle:linux:7, p-cpe:/a:miracle:linux:kernel-debug, p-cpe:/a:miracle:linux:kernel-tools-libs, p-cpe:/a:miracle:linux:python-perf, p-cpe:/a:miracle:linux:perf, p-cpe:/a:miracle:linux:bpftool, p-cpe:/a:miracle:linux:kernel-headers, p-cpe:/a:miracle:linux:kernel-devel, p-cpe:/a:miracle:linux:kernel-abi-whitelists, p-cpe:/a:miracle:linux:kernel-debug-devel, p-cpe:/a:miracle:linux:kernel

必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list

可利用: true

易利用性: Exploits are available

补丁发布日期: 2020/5/26

漏洞发布日期: 2016/4/25

参考资料信息

CVE: CVE-2015-9289, CVE-2017-17807, CVE-2018-19985, CVE-2018-20169, CVE-2018-7191, CVE-2019-10207, CVE-2019-10638, CVE-2019-10639, CVE-2019-11190, CVE-2019-11884, CVE-2019-12382, CVE-2019-13233, CVE-2019-13648, CVE-2019-14283, CVE-2019-15916, CVE-2019-16746, CVE-2019-18660, CVE-2019-3901, CVE-2019-9503