Oracle Linux 7:glibc (ELSA-2024-12444)
high Nessus 插件 ID 200741
语言:
简介
远程 Oracle Linux 主机缺少一个或多个安全更新。描述
远程 Oracle Linux 7 主机上安装的多个程序包受到 ELSA-2024-12444 公告中提及的多个漏洞影响。[2.17-326.0.9.3]
- 将 Oracle 修补程序向前移植到 2.17-326.3 审核人:Jose E. Marchesi <jose.marchesi@oracle.com> Oracle history:
2023 年 6 月 22 日 Cupertino Miranda <cupertino.miranda@oracle.com> - 2.17-326.0.9
- OraBug 35517820 重写了之前针对 OraBug 35318841 的修补程序,并删除了堆栈分配的 free()。
审核人:Jose E. Marchesi <jose.marchesi@oracle.com> 2023 年 6 月 20 日 Cupertino Miranda <cupertino.miranda@oracle.com> - 2.17-326.0.7
- OraBug 35517820 不在 __nptl_tunables_init 中分配堆内存。
- 此问题已在与 OraBug 35318841 相关的修补程序中引入并修复。
审核人:Jose E. Marchesi <jose.marchesi@oracle.com> 2023 年 4 月 21 日 Cupertino Miranda <cupertino.miranda@oracle.com> - 2.17-326.0.5
- OraBug 35318841 Glibc 可调整以在 pthread_create 堆栈上禁用大型页面 审核人:Jose E. Marchesi <jose.marchesi@oracle.com> 2022 年 12 月 19 日 Cupertino Miranda <cupertino.miranda@oracle.com> - 2.17-326.0.3
- OraBug 34909902 i686 上的 vDSO 定时器功能支持 审核人:Jose E. Marchesi <jose.marchesi@oracle.com> 2022 年 5 月 18 日 Patrick McGehearty <patrick.mcgehearty@oracle.com> - 2.17-326.0.1
- 将 Oracle 修补程序向前移植到 2.17-326。
审核人:Jose E. Marchesi <jose.marchesi@oracle.com> 2022 年 4 月 26 日 Patrick McGehearty <patrick.mcgehearty@oracle.com> - 2.17-325.0.3
- OraBug 33968985 安全修补程序 此版本修复了 CVE-2022-23219、CVE-2022-23218 和 CVE-2021-3999 审核人:Jose E. Marchesi <jose.marchesi@oracle.com> 2021 年 10 月 12 日 Patrick McGehearty <patrick.mcgehearty@oracle.com> - 2.17-325.0.1
- 合并 el7 u9 errata4 修补程序与 Oracle 修补程序。审查异常:简单合并
- 合并 el7 u9 errata 修补程序与 Oracle 修补程序。审查异常:简单合并
- 添加三个 arm 专用修补程序,以允许 glibc x86 树用于
- ILOM 和其他 arm 版本。审核人:Jose E. Marchesi <jose.marchesi@oracle.com>
- 合并 el7 u8 修补程序与 Oracle 修补程序。审查异常:简单合并
- 添加 Mike Fabian 的 C.utf-8 修补程序(C.utf-8 是可识别 unicode 的 C 区域设置版本)Orabug 29784239。
- 审核人:Jose E. Marchesi <jose.marchesi@oracle.com>
- 删除与 glibc-rh1705899-4.patch 重复的 glibc-ora28641867.patch
- 使 _IO_funlockfile 匹配 __funlockfile 并使 _IO_flockfile 匹配 __flockfile 两者都应测试 if ((stream->_flags & _IO_USER_LOCK) == 0)
_IO_lock_lock (*stream->_lock);
OraBug 28481550。
- 审核人:Jose E. Marchesi <jose.marchesi@oracle.com>
- 修改 glibc-ora28849085.patch,使其可用于 RHCK 内核。
Orabug 28849085。
- 审核人:Egeyar Bagcioglu <egeyar.bagcioglu@oracle.com>
- 在 getifaddrs 的 uek2 中使用 NLM_F_SKIP_STATS 并在 uek4 中使用 RTEXT_FILTER_SKIP_STATS。
- Orabug 28849085。
- 审核人: Patrick McGehearty <patrick.mcgehearty@oracle.com>
- 在 CVE-2015-8983 和 CVE-2015-8984 的 .spec 文件中提及 CVE 编号。
- Orabug 25558067。
- 审核人:Egeyar Bagcioglu <egeyar.bagcioglu@oracle.com>
- 重新生成 plural.c
- OraBug 28806294。
- 审核人:Jose E. Marchesi <jose.marchesi@oracle.com>
- intl:移植到 Bison 3.0
- 向后移植上游 gettext 提交 19f23e290a5e4a82b9edf9f5a4f8ab6192871be9
- OraBug 28806294。
- 审核人: Patrick McGehearty <patrick.mcgehearty@oracle.com>
- 修复 dbl-64/wordsize-64 remquo(缺陷 17569)。
- 向后移植上游 d9afe48d55a412e76b0dcb28335fd4b390fe07ae
- OraBug 19570749。
- 审核人:Jose E. Marchesi <jose.marchesi@oracle.com>
- libio:插入时禁用 vtable 验证。
- 向后移植上游 c402355dfa7807b8e0adb27c009135a7e2b9f1b0。
- OraBug 28641867。
- 审核人:Egeyar Bagcioglu <egeyar.bagcioglu@oracle.com>
- Include-linux-falloc.h-in-bits-fcntl-linux.h
- 定义 FALLOC_FL_PUNSH_HOLE、FALLOC_FL_KEEP_SIZE、FALLOC_FL_COLLAPSE_RANGE 和 FALLOC_FL_ZERO_RANGE
- OraBug 28483336
- 将 MAP_SHARED_VALIDATE 和 MAP_SYNC 标记添加到
- sysdeps/unix/sysv/linux/x86/bits/mman.h
- OraBug 28389572
- 使用 Linux hwpoison SIGBUS 更改更新 bits/siginfo.h。
- 为硬件中毒信号添加新的 SIGBUS 错误代码,与当前的内核标头 (v3.9) 同步。
- 它还添加了 alpha 的 si_trapno 字段。
- 新值:BUS_MCEERR_AR、BUS_MCEERR_AO
- OraBug 28124569
Tenable 已直接从 Oracle Linux 安全公告中提取上述描述块。
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
更新受影响的程序包。另见
插件详情
严重性: High
ID: 200741
文件名: oraclelinux_ELSA-2024-12444.nasl
版本: 1.1
类型: local
代理: unix
发布时间: 2024/6/19
最近更新时间: 2024/6/19
支持的传感器: Frictionless Assessment Agent, Nessus Agent, Nessus
风险信息
VPR
风险因素: Critical
分数: 9.4
CVSS v2
风险因素: High
基本分数: 9
时间分数: 6.7
矢量: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:C
CVSS 分数来源: CVE-2024-2961
CVSS v3
风险因素: High
基本分数: 8.8
时间分数: 7.7
矢量: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: cpe:/a:oracle:linux:7::userspace_ksplice, p-cpe:/a:oracle:linux:glibc-headers, p-cpe:/a:oracle:linux:nscd, cpe:/o:oracle:linux:7, p-cpe:/a:oracle:linux:glibc, p-cpe:/a:oracle:linux:glibc-utils, p-cpe:/a:oracle:linux:glibc-static, p-cpe:/a:oracle:linux:glibc-common, p-cpe:/a:oracle:linux:glibc-devel
必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/OracleLinux
易利用性: No known exploits are available
补丁发布日期: 2024/6/19
漏洞发布日期: 2024/4/5
参考资料信息
CVE: CVE-2024-2961, CVE-2024-33599, CVE-2024-33600, CVE-2024-33601, CVE-2024-33602