公告ID(KYSA-202208-1235)
公告ID:KYSA-202208-1235
公告摘要:libreport安全漏洞
等級:Important
發(fā)布日期:2022-08-16
詳細(xì)介紹
1.修復(fù)的CVE
·CVE-2011-4088
描述:abrt中存在信息泄露漏洞����。攻擊者可利用該漏洞獲得潛在地敏感信息���,這將有助于進(jìn)一步的攻擊。abrt 2.0.6版本中存在該漏洞����,其他版本也可能受影響�����。
·CVE-2012-1106
描述:Automatic Bug Reporting Tool(ABRT)2.0.8版本和早期版本中的C處理程序插件中存在漏洞��,該漏洞源于sysctl fs.suid_dumpable操作設(shè)置為2時未正確設(shè)置組(GID)在核心文件的setuid程序中的權(quán)限�����。本地攻擊者可利用該漏洞獲取敏感信息��。
·CVE-2012-5659
描述:ABRT是一套自動BUG報告工具����。Automatic Bug Reporting Tool (ABRT) 2.0.9和較早版本中的plugins/abrt-action-install-debuginfo-to-abrt-cache.c中存在不可信搜索路徑漏洞��。通過修改PYTHONPATH環(huán)境變量來引用惡意的Python模塊���,本地攻擊者利用該漏洞加載并執(zhí)行任意Python模塊���。
·CVE-2012-5660
描述:ABRT是一套自動BUG報告工具。Automatic Bug Reporting Tool (ABRT) 2.0.9和較早版本中的abrt-action-install-debuginfo中存在漏洞。通過對‘用于存儲有關(guān)崩潰信息的目錄’進(jìn)行符號鏈接攻擊�,本地攻擊者利用該漏洞設(shè)置任意文件為全局可寫并獲得權(quán)限����。
·CVE-2015-1869
描述:ABRT是一套自動BUG報告工具。ABRT中存在權(quán)限許可和訪問控制問題漏洞���。本地攻擊者可利用該漏洞獲取root權(quán)限���。
·CVE-2015-1870
描述:Automatic Bug Reporting Tool(ABRT)是一個幫助用戶檢測和報告應(yīng)用程序崩潰的工具。
Automatic Bug Reporting Tool存在信息泄露漏洞��,該漏洞源于程序為受影響路徑下的sosreport的復(fù)制文件分配全域可讀權(quán)限�����。本地攻擊者可利用該漏洞獲從/var/log/messages中獲取敏感信息�����。
·CVE-2015-3142
描述:Automatic Bug Reporting Tool(ABRT)是一個幫助用戶檢測和報告應(yīng)用程序崩潰的工具�。
Automatic Bug Reporting Tool存在信息泄露漏洞,該漏洞源于在將core dumps寫入文件時���,程序沒有檢測文件的所有權(quán)�����。本地攻擊者可利用該漏洞獲取敏感信息����。
·CVE-2015-3147
描述:ABRT是一套自動BUG報告工具。ABRT中存在權(quán)限許可和訪問控制問題漏洞�。攻擊者可利用該漏洞繞過安全限制,執(zhí)行未授權(quán)操作�。
·CVE-2015-3159
描述:ABRT是一套自動BUG報告工具。ABRT中存在權(quán)限許可和訪問控制問題漏洞���。本地攻擊者可利用該漏洞獲取root權(quán)限����。
·CVE-2015-3315
描述:ABRT中存在安全漏洞���。本地攻擊者可借助符號鏈接攻擊利用該漏洞讀取���、更改文件的所有權(quán)。
·CVE-2015-5302
描述:libreport是一套使用C#語言在DotNET1.1環(huán)境下開發(fā)的用于建立主從關(guān)系��、分組報表的組件。libreport 2.6.3之前2.0.7版本中存在安全漏洞��,該漏洞源于程序在編輯崩潰報告時只保存對第一個文件的更改��。遠(yuǎn)程攻擊者可利用該漏洞獲取敏感信息����。受影響的文件包括backtrace�,cmdline,environ���,open_fds�,maps����,smaps,hostname���,remote�,ks.cfg�,anaconda-tb文件附件。
2.受影響的軟件包
·中標(biāo)麒麟高級服務(wù)器操作系統(tǒng) V6
·x86_64架構(gòu):
libreport����、libreport-cli�、libreport-compat�����、libreport-devel��、libreport-filesystem���、libreport-gtk�����、libreport-gtk-devel����、libreport-newt��、libreport-plugin-bugzilla���、libreport-plugin-kerneloops��、libreport-plugin-logger���、libreport-plugin-mailx���、libreport-plugin-reportuploader、libreport-plugin-rhtsupport���、libreport-plugin-ureport���、libreport-python
3.軟件包修復(fù)版本
·中標(biāo)麒麟高級服務(wù)器操作系統(tǒng) V6 (x86_64)
libreport-2.0.9-33.el6.ns6.01或以上版本
libreport-cli-2.0.9-33.el6.ns6.01或以上版本
libreport-compat-2.0.9-33.el6.ns6.01或以上版本
libreport-devel-2.0.9-33.el6.ns6.01或以上版本
libreport-filesystem-2.0.9-33.el6.ns6.01或以上版本
libreport-gtk-2.0.9-33.el6.ns6.01或以上版本
libreport-gtk-devel-2.0.9-33.el6.ns6.01或以上版本
libreport-newt-2.0.9-33.el6.ns6.01或以上版本
libreport-plugin-bugzilla-2.0.9-33.el6.ns6.01或以上版本
libreport-plugin-kerneloops-2.0.9-33.el6.ns6.01或以上版本
libreport-plugin-logger-2.0.9-33.el6.ns6.01或以上版本
libreport-plugin-mailx-2.0.9-33.el6.ns6.01或以上版本
libreport-plugin-reportuploader-2.0.9-33.el6.ns6.01或以上版本
libreport-plugin-rhtsupport-2.0.9-33.el6.ns6.01或以上版本
libreport-plugin-ureport-2.0.9-33.el6.ns6.01或以上版本
libreport-python-2.0.9-33.el6.ns6.01或以上版本
4.修復(fù)方法
方法一:配置源進(jìn)行升級安裝
1.打開軟件包源配置文件���,根據(jù)倉庫地址進(jìn)行修改����。
倉庫源地址:
中標(biāo)麒麟高級服務(wù)器操作系統(tǒng) V6
x86_64:https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/base/x86_64/
2.配置完成后執(zhí)行更新命令進(jìn)行升級����,命令如下:
yum update Packagename
方法二:下載安裝包進(jìn)行升級安裝
通過軟件包地址下載軟件包,使用軟件包升級命令根據(jù)受影響的軟件包
列表進(jìn)行升級安裝, 命令如下:
yum install Packagename
3.升級完成后是否需要重啟服務(wù)或操作系統(tǒng):
CVE-2011-4088:需要重啟 libreport 以使漏洞修復(fù)生效�。
CVE-2012-1106:需要重啟 libreport 以使漏洞修復(fù)生效。
CVE-2012-5659:需要重啟 libreport 以使漏洞修復(fù)生效��。
CVE-2012-5660:需要重啟 libreport 以使漏洞修復(fù)生效�����。
CVE-2015-1869:需要重啟 libreport 以使漏洞修復(fù)生效。
CVE-2015-1870:需要重啟 libreport 以使漏洞修復(fù)生效����。
CVE-2015-3142:需要重啟 libreport 以使漏洞修復(fù)生效。
CVE-2015-3147:需要重啟 libreport 以使漏洞修復(fù)生效���。
CVE-2015-3159:需要重啟 libreport 以使漏洞修復(fù)生效�����。
CVE-2015-3315:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效����。
CVE-2015-5302:需要重啟 libreport 以使漏洞修復(fù)生效��。
5.軟件包下載地址
·中標(biāo)麒麟高級服務(wù)器操作系統(tǒng) V6
libreport(x86_64)軟件包下載地址:
https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/base/x86_64/Packages/libreport-2.0.9-33.el6.ns6.01.i686.rpm
https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/base/x86_64/Packages/libreport-2.0.9-33.el6.ns6.01.x86_64.rpm
https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/base/x86_64/Packages/libreport-cli-2.0.9-33.el6.ns6.01.x86_64.rpm
https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/base/x86_64/Packages/libreport-compat-2.0.9-33.el6.ns6.01.x86_64.rpm
https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/base/x86_64/Packages/libreport-devel-2.0.9-33.el6.ns6.01.i686.rpm
https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/base/x86_64/Packages/libreport-devel-2.0.9-33.el6.ns6.01.x86_64.rpm
https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/base/x86_64/Packages/libreport-filesystem-2.0.9-33.el6.ns6.01.x86_64.rpm
https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/base/x86_64/Packages/libreport-gtk-2.0.9-33.el6.ns6.01.i686.rpm
https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/base/x86_64/Packages/libreport-gtk-2.0.9-33.el6.ns6.01.x86_64.rpm
https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/base/x86_64/Packages/libreport-gtk-devel-2.0.9-33.el6.ns6.01.i686.rpm
https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/base/x86_64/Packages/libreport-gtk-devel-2.0.9-33.el6.ns6.01.x86_64.rpm
https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/base/x86_64/Packages/libreport-newt-2.0.9-33.el6.ns6.01.x86_64.rpm
https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/base/x86_64/Packages/libreport-plugin-bugzilla-2.0.9-33.el6.ns6.01.x86_64.rpm
https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/base/x86_64/Packages/libreport-plugin-kerneloops-2.0.9-33.el6.ns6.01.x86_64.rpm
https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/base/x86_64/Packages/libreport-plugin-logger-2.0.9-33.el6.ns6.01.x86_64.rpm
https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/base/x86_64/Packages/libreport-plugin-mailx-2.0.9-33.el6.ns6.01.x86_64.rpm
https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/base/x86_64/Packages/libreport-plugin-reportuploader-2.0.9-33.el6.ns6.01.x86_64.rpm
https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/base/x86_64/Packages/libreport-plugin-rhtsupport-2.0.9-33.el6.ns6.01.x86_64.rpm
https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/base/x86_64/Packages/libreport-plugin-ureport-2.0.9-33.el6.ns6.01.x86_64.rpm
https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/base/x86_64/Packages/libreport-python-2.0.9-33.el6.ns6.01.x86_64.rpm
注:其他相關(guān)依賴包請到相同目錄下載
6.修復(fù)驗證
使用軟件包查詢命令�,查看相關(guān)軟件包版本是否與修復(fù)版本一致,如果版本一致��,則說明修復(fù)成功�����。
sudo rpm -qa | grep Packagename
安全漏洞補(bǔ)丁公告
