检测

iracleLinux 3vixie-cron-4.1-81.AXS3 (AXSA:2012-254:01)

high Nessus 插件 ID 283925

语言:

简介

远程iraclelinux 主机缺少安全更新。

描述

远程iraclelinux 3 主机上存在安装的程序包该程序包受到 AXSA:2012-254:01 公告中提及的漏洞的影响。

 vixie-cron 程序包包含 cron 的 Vixie 版本。Cron 是一个标准 UNIX 后台程序,在计划的时间运行指定的程序。Vixie cron 在标准 cron 版本中添加了更好的安全性和更强大的配置选项。
 此版本修复的安全问题
 CVE-2010-0424 (1) 低于 1.4.4 的cronie 和 (2) Vixie cron 中 crontab.c 的 edit_cmd 函数 (vixie-cron) 允许本地用户通过针对 /tmp 目录中临时文件的符号链接攻击。
 修复的缺陷:
 一个临时的 NSS 查找失败经常阻止具有挂载在 LDAP 服务器或 NFS 上的主目录的用户执行 cron 作业因为随后此类作业会被标记为孤立。此更新引入了孤立数据库的创建且 cron 作业可按预期执行。
 以前,如果位于 /etc/cron.d/ 目录中的 cron 作业文件包含无效条目,cron 不会记录任何错误。已修复此问题cron 作业文件中的无效条目现在会生成警告消息。
 以前@reboot crontab 宏会在重新启动 crond 后台程序时错误地运行作业。在多台机器上使用时每次重新启动 crond 后台程序时都会执行具有 @reboot 选项的所有条目。已修复此问题并且作业仅在计算机重新启动时执行。
 crontab 现已编译为与位置无关的可执行文件 (PIE)这增强了系统的安全性。
 如果父 crond 后台程序已停止但子后台程序仍在运行service crond status 命令会错误地报告 crond 正在运行。此问题已得到修复service crond status 命令现在会正确报告 crond 已停止。
 此更新包含已修正的 /etc/pam.d/crond 文件,其可正确导出环境变量。
 通过 cron 设置 pam 变量现在会按 pam(8) 手册页中记录的方式进行。
 以前如果 crond 后台程序尝试使用由 mcstrand 修改的标签而 mcstransd 未在运行crond 会使用不正确的标签。因此,安全增强型 Linux (SELinux) 拒绝的记录会填满 cron 日志,不会执行任何作业,并且必须重新启动 crond。已通过使 mcstransd 和 crond 使用原始 SELinux 标签修复此问题。
 已修复 crontab(1) 和 cron(8) 手册页中的许多拼写错误。
 增强:
 crontab 实用工具现在使用可插拔认证模块进行用户验证这可防止用户访问 crontab以前即使限制其访问权限也是可以访问 crontab 的。Crontab 现在会返回错误消息,通知用户 PAM 配置阻止其执行此操作。

Tenable 已直接从MiracleLinux 安全公告中提取上述描述块。

请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的 vixie-cron 程序包。

另见

https://tsn.miraclelinux.com/en/node/2746

插件详情

严重性: High

ID: 283925

文件名: miracle_linux_AXSA-2012-254.nasl

版本: 1.1

类型: local

发布时间: 2026/1/14

最近更新时间: 2026/1/14

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.2

Vendor

Vendor Severity: High

CVSS v2

风险因素: Low

基本分数: 3.3

时间分数: 2.4

矢量: CVSS2#AV:L/AC:M/Au:N/C:N/I:P/A:P

CVSS 分数来源: CVE-2010-0424

CVSS v3

风险因素: High

基本分数: 7.1

时间分数: 6.2

矢量: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:miracle:linux:vixie-cron, cpe:/o:miracle:linux:3

必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list

易利用性: No known exploits are available

补丁发布日期: 2012/3/7

漏洞发布日期: 2010/2/24

参考资料信息

CVE: CVE-2010-0424