Oracle Linux 5 / 6:Unbreakable Enterprise Kernel (ELSA-2013-2546)
medium Nessus 插件 ID 69942
语言:
简介
远程 Oracle Linux 主机缺少一个或多个安全更新。描述
远程 Oracle Linux 5/6 主机上安装的程序包受到 ELSA-2013-2546 公告中提及的多个漏洞的影响。- sctp处理多个 COOKIE_ECHO 区块 (Max Matveev) [Orabug17371930] {CVE-2013-2206}
- BluetoothL2CAP - 修复通过 getsockname() 造成的信息泄漏 (Mathias Krause) [Orabug17371037] {CVE-2012-6544}
- 蓝牙HCI - 通过 getsockname() 修复信息泄漏 (Mathias Krause) [Orabug17370887] {CVE-2012-6544}
- BluetoothHCI - 修复 getsockopt(HCI_FILTER) 中的信息泄漏 (Mathias Krause) [Orabug17371061] {CVE-2012-6544}
- sctp在重复 Cookie 处理中使用正确的 sideffect 命令 (Vlad Yasevich) [Orabug17371114] {CVE-2013-2206}
- af_key对 key_notify_policy_flush() 中的 satype 进行初始化 (Nicolas Dichtel) [Orabug: 17370761] {CVE-2013-2237}
- net修复错误凭据传递 (Linus Torvalds) [Orabug16836975] {CVE-2013-1979}
- tg3修复 VPD 固件解析中的长度溢出 (Kees Cook) [Orabug16836958] {CVE-2013-1929}
- USBcdc-wdm修复缓冲区溢出 (Oliver Neukum) [Orabug16836943] {CVE-2013-1860}
- ext3修复格式字符串问题 (Lars-Peter Clausen) [Orabug16836934] {CVE-2013-1848}
- perf将 attr.config 在 perf_swevent_init() 中处理为 u64 (Tommi Rantala) [Orabug16808734] {CVE-2013-2094}
- ipv6ip6_append_data_mtu 不在乎 pmtudisc 和 frag_size (Hannes Frederic Sowa) [Orabug:
17296421] {CVE-2013-4163}
- af_key修复通知消息中的信息泄漏 (Mathias Krause) [Orabug17237752] {CVE-2013-2234}
- drivers/cdrom/cdrom.c将 kzalloc() 用于故障硬件 (Jonathan Salwan) [Orabug17230700] {CVE-2013-2164}
- ipv6ip6_sk_dst_check() 不得假设 ipv6 dst (Eric Dumazet) [Orabug17215196] {CVE-2013-2232}
- block不将磁盘名称作为格式字符串传递 (Kees Cook) [Orabug17230067] {CVE-2013-2851}
- libceph修复 auth 客户端代码中的空指针取消引用 (Tyler Hicks) [Orabug17230100] {CVE-2013-1059}
- xen/blkback在允许 OP_DISCARD 之前检查设备权限 (Konrad Rzeszutek Wilk) {CVE-2013-2140}
- xen/blkback在允许 OP_DISCARD 之前检查设备权限 (Konrad Rzeszutek Wilk) {CVE-2013-2140}
- dcbnl修复多种 netlink 信息泄漏 (Mathias Krause) [Orabug17024912] {CVE-2013-2634}
- b43停止格式字符串泄漏到错误消息中 (Kees Cook) [Orabug16992869] {CVE-2013-2852}
- 蓝牙RFCOMM - 修复 rfcomm_sock_recvmsg() 中缺少的 msg_namelen 更新 (Mathias Krause) [Orabug
16888256] {CVE-2013-3225}
- Bluetooth修复 bt_sock_recvmsg() 中可能的信息泄漏 (Mathias Krause) [Orabug16888251] {CVE-2013-3224}
- atm更新 vcc_recvmsg() 中的 msg_namelen (Mathias Krause) [Orabug16888219] {CVE-2013-3222}
Tenable 已直接从 Oracle Linux 安全公告中提取上述描述块。
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
更新受影响的程序包。另见
插件详情
严重性: Medium
ID: 69942
文件名: oraclelinux_ELSA-2013-2546.nasl
版本: 1.22
类型: local
代理: unix
发布时间: 2013/9/18
最近更新时间: 2025/4/30
支持的传感器: Frictionless Assessment Agent, Nessus Agent, Continuous Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 6.0
CVSS v2
风险因素: Medium
基本分数: 4.9
时间分数: 3.8
矢量: CVSS2#AV:L/AC:L/Au:N/C:C/I:N/A:N
CVSS 分数来源: CVE-2013-3076
CVSS v3
风险因素: Medium
基本分数: 5.5
时间分数: 5
矢量: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
CVSS 分数来源: CVE-2013-2234
漏洞信息
CPE: p-cpe:/a:oracle:linux:kernel-uek-debug, p-cpe:/a:oracle:linux:kernel-uek-devel, p-cpe:/a:oracle:linux:kernel-uek-doc, p-cpe:/a:oracle:linux:kernel-uek-firmware, p-cpe:/a:oracle:linux:kernel-uek, cpe:/o:oracle:linux:6, cpe:/o:oracle:linux:5, p-cpe:/a:oracle:linux:kernel-uek-debug-devel
必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/OracleLinux
可利用: true
易利用性: Exploits are available
补丁发布日期: 2013/9/16
漏洞发布日期: 2013/2/22
参考资料信息
CVE: CVE-2012-6549, CVE-2013-1772, CVE-2013-2140, CVE-2013-2164, CVE-2013-2234, CVE-2013-3076, CVE-2013-4163