Graphite 2 ライブラリの脆弱性 (MFSA 2017-16)

「lz4: : decompress」に関連した、ヒープベースのバッファオーバーフローの欠陥が graphite2 で報告されました。攻撃者がこの問題を悪用してクラッシュを引き起こしたり、任意のコードを実行したりする可能性があります。(CVE-2017-7778)

「lz4: : decompress」(src/Decompressor) のヒープバッファオーバーフロー書き込み

「lz4: : decompress」(src/Decompressor) に関連した、ヒープベースのバッファオーバーフローの欠陥が graphite2 で報告されました。攻撃者がこの問題を悪用してクラッシュを引き起こしたり、任意のコードを実行したりする可能性があります。(CVE-2017-7772)(CVE-2017-7773)

「graphite2: : Pass: : readPass」の領域外読み取り:

「graphite2: : Pass: : readPass」に関連した領域外読み取りの欠陥が graphite2 で報告されました。攻撃者がこの欠陥を悪用して秘密性の高いメモリを漏えいしたり、アプリケーションをクラッシュさせたりする可能性があります。(CVE-2017-7771)

「graphite2: : Silf: : getClassGlyph」のヒープバッファオーバーフローの読み取り

「graphite2: : Silf: : getClassGlyph」に関連した領域外読み取りの欠陥が graphite2 で報告されました。攻撃者がこの欠陥を悪用して秘密性の高いメモリを漏えいしたり、アプリケーションをクラッシュさせたりする可能性があります。(CVE-2017-7776)

「graphite2: : GlyphCache: : Loader: : read_glyph」の初期化されていないメモリの使用:

「graphite2: : GlyphCache: : Loader: : read_glyph」に関連した初期化されていないメモリ使用が graphite2 で報告されました。攻撃者がこの欠陥を悪用し、graphite2 を使用しているアプリケーションの実行に不明な方法で悪影響を与える可能性があります。(CVE-2017-7777)

「graphite2: : Silf: : readGraphite」の領域外読み取り

「graphite2: : Silf: : readGraphite」に関連した領域外読み取りの欠陥が graphite2 で報告されました。攻撃者がこの欠陥を悪用して秘密性の高いメモリを漏えいしたり、アプリケーションをクラッシュさせたりする可能性があります。(CVE-2017-7774)

アサーションエラー「size() > n」：

検出

Amazon Linux AMI: graphite2 (ALAS-2017-872)

critical Nessus プラグイン ID 102546

バージョン 3.5

バージョン 3.4

バージョン 3.5 Jan 16, 2024, 5:39 PM CVE (Removed rejected CVE) Plugin Feed: 202401161739
バージョン 3.4 Jan 16, 2024, 3:43 PM CVE (Removed rejected CVE) Plugin Feed: 202401161543