OracleVM 3.3 / 3.4:bash (OVMSA-2017-0050)
critical Nessus 插件 ID 99077
语言:
简介
远程 OracleVM 主机缺少安全更新。描述
远程 OracleVM 系统缺少解决关键安全更新的必要补丁:- 修复 read 内置命令中的信号处理,解决:#1421926
- CVE-2016-9401 - 修复将“-”作为第二个符号传递至 popd 时发生崩溃的问题,解决:#1396383
- CVE-2016-7543 - 针对通过 SHELLOPTS+PS4 变量执行任意代码的补丁,解决:#1379630
- CVE-2016-0634 - 针对通过恶意主机名执行任意代码的补丁,解决:#1377613
- 避免在扩展长字符串时参数扩展发生崩溃,解决:#1359142
- 收到 SIGHUP 时停止读取输入,解决:
#1325753
- Bash 在参数扩展中执行模式删除时泄露内存,解决:#1283829
- 修复关机时保存 bash 历史记录过程中存在的争用条件,解决:#1325753
- 未安装 dbger 的情况下,Bash 不应忽略 bash --debugger,相关:#1260568
- for 循环和括号内存在错误解析,解决:
#1207803
- IFS 未正确拆分 herestrings,解决:#1250070
- 子 shell 的 for 循环中的情况导致语法错误,解决:#1240994
- 未安装 dbger 的情况下,Bash 不应忽略 bash --debugger,解决:#1260568
- Bash 在反复执行 pattern-subst 时泄露内存,解决:#1207042
- Bash 在收到信号时挂起,解决:#868846
解决方案
更新受影响的 bash 程序包。另见
插件详情
严重性: Critical
ID: 99077
文件名: oraclevm_OVMSA-2017-0050.nasl
版本: 3.8
类型: Local
发布时间: 2017/3/30
最近更新时间: 2025/12/29
支持的传感器: Nessus
风险信息
VPR
风险因素: Critical
分数: 9.0
CVSS v2
风险因素: Critical
基本分数: 10
时间分数: 8.3
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS 分数来源: CVE-2014-7169
CVSS v3
风险因素: Critical
基本分数: 9.8
时间分数: 9.1
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:F/RL:O/RC:C
漏洞信息
CPE: cpe:/o:oracle:vm_server:3.3, p-cpe:/a:oracle:vm:bash, cpe:/o:oracle:vm_server:3.4
必需的 KB 项: Host/local_checks_enabled, Host/OracleVM/release, Host/OracleVM/rpm-list
可利用: true
易利用性: Exploits are available
补丁发布日期: 2017/3/29
漏洞发布日期: 2014/9/24
CISA 已知可遭利用的漏洞到期日期: 2022/7/28
参考资料信息
CVE: CVE-2014-7169, CVE-2016-0634, CVE-2016-7543, CVE-2016-9401
BID: 70137