检测

Debian dla-4491libglib2.0-0 - 安全更新

low Nessus 插件 ID 299773

语言:

简介

远程 Debian 主机上缺少一个或多个与安全相关的更新。

描述

远程 Debian 11 主机上存在安装的程序包该程序包受到 dla-4491 公告中提及的多个漏洞的影响。

 -------------------------------------------------- ----------------------- Debian LTS 公告 DLA-4491-1 [email protected] https://www.debian.org/lts/security/Andreas Henriksson 2026 年 2 月 23 日 https://wiki.debian.org/LTS-------------------------------------------------------------------------

 程序包glib2.0 版本2.66.8-1+deb11u8 CVE ID CVE-2026-0988 CVE-2026-1484 CVE-2026-1485 CVE-2026-1489 Debian 缺陷1125752 1126549 1126550 1126551

 在通用可移植实用工具库 GLib 中发现多个问题如果处理恶意构建的数据可导致拒绝服务、内存损坏或可能执行任意代码。

 CVE-2026-0988

 Codean Labs 发现 g_buffered_input_stream_peek() 函数中缺少对偏移和计数参数的验证可能会在长度计算期间导致整数溢出。如果提供了特别构建的值此溢出会导致将错误的大小传递到 memcpy()从而触发缓冲区溢出。这可造成应用程序崩溃从而导致拒绝服务 (DoS)。

 CVE-2026-1484

 treeplus另外感谢 Sovereign Tech Sovereign Tech Agency 的 Resilience 项目存在于 GLib Base64 编码例程中处理非常大的输入数据时。由于在长度计算期间未正确使用整数类型库可能会错误计算缓冲区边界。
 这可导致内存写入超出分配的缓冲区。使用 GLib 处理不受信任或极大的 Base64 输入的应用程序可能会崩溃或行为不可预测。

 CVE-2026-1485

 treeplus 额外感谢 Sovereign Tech Agency 的 Resilience 计划在 Glib 的内容类型解析逻辑中发现一个缺陷。
 发生此缓冲区下溢漏洞的原因是标头行的长度存储在带符号的整数中可导致非常大的输入的整数回绕。这会导致指针下溢和越界内存访问。此漏洞利用需要本地用户安装或处理特别构建的 treemagic 文件从而可导致本地拒绝服务或应用程序不稳定。

 CVE-2026-1489

 treeplus另外感谢 Sovereign Tech Agency 的 Sovereign Tech Resilience 计划发现 GLib 中存在一个缺陷。其 Unicode 大小写转换实现中存在一个整数溢出漏洞可导致内存损坏。通过处理特别构建的极大 Unicode 字符串攻击者可以触发过小的内存分配从而导致越界写入。这可造成利用 GLib 进行字符串转换的应用程序崩溃或变得不稳定。

 对于 Debian 11 Bullseye这些问题已在 2.66.8-1+deb11u8 版本中修复。

 我们建议您升级 glib2.0 程序包。

 如需了解 glib2.0 的详细安全状态,请参阅其安全跟踪页面:
 https://security-tracker.debian.org/tracker/glib2.0

 有关 Debian LTS 安全公告、如何将这些更新应用到系统以及常见问题解答的更多信息,请访问以下网址:https://wiki.debian.org/LTSAttachment:signature.ascDescription: PGP signature

Tenable 已直接从 Debian 安全公告中提取上述描述块。

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

升级 libglib2.0-0 程序包。

另见

https://security-tracker.debian.org/tracker/source-package/glib2.0

https://security-tracker.debian.org/tracker/CVE-2026-0988

https://security-tracker.debian.org/tracker/CVE-2026-1484

https://security-tracker.debian.org/tracker/CVE-2026-1485

https://security-tracker.debian.org/tracker/CVE-2026-1489

https://packages.debian.org/source/bullseye/glib2.0

插件详情

严重性: Low

ID: 299773

文件名: debian_DLA-4491.nasl

版本: 1.1

类型: local

代理: unix

发布时间: 2026/2/23

最近更新时间: 2026/2/23

支持的传感器: Agentless Assessment, Continuous Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus

风险信息

VPR

风险因素: Low

分数: 3.3

CVSS v2

风险因素: Medium

基本分数: 6.4

时间分数: 4.7

矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:P

CVSS 分数来源: CVE-2026-1489

CVSS v3

风险因素: Low

基本分数: 2.8

时间分数: 2.5

矢量: CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:U/C:N/I:N/A:L

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

CVSS 分数来源: CVE-2026-1485

漏洞信息

CPE: p-cpe:/a:debian:debian_linux:libglib2.0-doc, p-cpe:/a:debian:debian_linux:libglib2.0-data, cpe:/o:debian:debian_linux:11.0, p-cpe:/a:debian:debian_linux:libglib2.0-dev, p-cpe:/a:debian:debian_linux:libglib2.0-udeb, p-cpe:/a:debian:debian_linux:libglib2.0-bin, p-cpe:/a:debian:debian_linux:libglib2.0-tests, p-cpe:/a:debian:debian_linux:libglib2.0-0, p-cpe:/a:debian:debian_linux:libglib2.0-dev-bin

必需的 KB 项: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

易利用性: No known exploits are available

补丁发布日期: 2026/2/23

漏洞发布日期: 2026/1/17

参考资料信息

CVE: CVE-2026-0988, CVE-2026-1484, CVE-2026-1485, CVE-2026-1489