OracleVM 3.2:sudo (OVMSA-2016-0079)
medium Nessus 插件 ID 91755
语言:
简介
远程 OracleVM 主机缺少安全更新。描述
远程 OracleVM 系统缺少必要修补程序来解决关键安全更新:- 添加 CVE-2014-0106 的修补程序:禁用 env_reset 时未审查某些环境变量 解决:rhbz#1072210
- 已向后移植 CVE-2013-1775 CVE-2013-1776 (CVE-2013-2776) CVE-2013-2777 的补丁 解决:rhbz#968221
- visudo:已修复与未定义别名(实际上已定义)有关的错误警告和解析错误 解决:rhbz#849679 解决:rhbz#905624
- 已更新 sudoers 手册页,阐明命令规范中的用户否定运算行为和通配符匹配行为 解决:rhbz#846118 解决:rhbz#856902
- 修复了 sudo -i 参数转义时的回归问题 解决:rhbz#853203
- 升级版本号
- 修复了用户和群组名缓存问题
- 已反向移植 LDAP 查询的 RFC 4515 转义
解决:rhbz#855836 解决:rhbz#869287
- 添加 -c 选项至 post/postun 脚本中的 sed 命令 解决:rhbz#818585
- 实现新的 sudoers Defaults 选项以还原旧命令 exec 行为 解决:rhbz#840971
- 添加在 sudoers.ldap 中以经授权的方式处理文件的功能 解决:rhbz#840097
- 已将 policycoreutils 依赖性更改为特定上下文依赖性(post 和 postun) 解决:rhbz#846694
- 修改 nsswitch.conf 时不使用临时文件
- 必要时修复 nsswitch.conf 的权限
解决:rhbz#846631
- 添加处理子进程时发生的争用条件的变通方案 解决:rhbz#829263
- 在 post/postun 脚本中使用安全的临时文件
- 已修正 postun 脚本 解决:rhbz#841070
- 已修正版本号
- 修改 postun scriplet 中的 nsswitch.conf 后调用 restorecon
- 已添加 policycoreutils 依赖性 解决:rhbz#818585
- 修复了“sudo -i”命令转义问题 (#806073)
- 修复了多种 sudoHost LDAP 属性处理问题 (#740884) 解决:rhbz#740884 解决:rhbz#806073
解决方案
更新受影响的 sudo 程序包。另见
https://oss.oracle.com/pipermail/oraclevm-errata/2016-June/000493.html
插件详情
严重性: Medium
ID: 91755
文件名: oraclevm_OVMSA-2016-0079.nasl
版本: 2.6
类型: local
发布时间: 2016/6/22
最近更新时间: 2021/1/4
支持的传感器: Nessus
风险信息
VPR
风险因素: High
分数: 8.9
CVSS v2
风险因素: Medium
基本分数: 6.9
时间分数: 5.7
矢量: CVSS2#AV:L/AC:M/Au:N/C:C/I:C/A:C
漏洞信息
CPE: p-cpe:/a:oracle:vm:sudo, cpe:/o:oracle:vm_server:3.2
必需的 KB 项: Host/local_checks_enabled, Host/OracleVM/release, Host/OracleVM/rpm-list
可利用: true
易利用性: Exploits are available
补丁发布日期: 2016/6/21
漏洞发布日期: 2013/3/5
可利用的方式
CANVAS (CANVAS)
Core Impact
Metasploit (Mac OS X Sudo Password Bypass)
参考资料信息
CVE: CVE-2013-1775, CVE-2013-1776, CVE-2013-2776, CVE-2013-2777, CVE-2014-0106