Fedora 26：mingw-libtasn1（2017-d5cf1a55ce）

high Nessus プラグイン ID 101725

Language:

概要

リモートのFedoraホストにセキュリティ更新プログラムがありません。

説明

リリース4.11での重要な変更（2017年5月27日リリース）[stable]

- ASN1_TIME_ENCODING_ERRORエラーコードを導入し、DER時間フィールドの無効なエンコーディングを示しました。

- フラグASN1_DECODE_FLAG_ALLOW_INCORRECT_TIMEを導入しました。
このフラグにより、厳格なDERモードの場合でも、時間フィールドのデコードエラーが発生します。これは、他のフィールドで厳格なDERアドヒアランスが強制されている場合でも、（一般的な）X.509証明書の無効な時間の許容を許可するために導入されました。

- asn1_find_node()での安全性チェックを追加しました。これにより、非常に長い変数名が開発者から提供されたときのクラッシュが防止されます。注意：これを悪用するには、開発者が使用するASN.1定義、すなわちasn1_write_value()またはasn1_read_value()の「name」パラメーターを制御する必要があります。このライブラリは、開発者が割り当てた変数名の悪意ある操作から保護するように設計されていません。Jakub Galczyk氏による報告。

リリース4.10での重要な変更（2017年1月16日リリース）[stable]

- gnulibを更新しました

- デフォルトのコンパイラフラグから-Werrorを削除しました

- _asn1_ltostr()で整数を否定するときの未定義の動作を修正しました
。oss-fuzzプロジェクトにより発見された問題（gnutls経由）：
https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=388

-
asn1_get_length_berの_asn1_get_indefinite_length_stringに正しい長さを渡します。これは、データの終わりを超えた1バイトの読み取りに対処します。oss-fuzzプロジェクトにより発見された問題（gnutls経由）：
https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=330 https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=331

注意：Tenable Network Securityは、前述の記述ブロックをFedora更新システムのWebサイトから直接抽出しています。
Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。