検出

FreeBSD: irssi -- 複数の脆弱性(85e2c7eb-b74b-11e7-8546-5cf3fcfdd1f1)

high Nessus プラグイン ID 104062

Language:

概要

リモートのFreeBSDホストに、セキュリティ関連の更新プログラムがありません。

説明

Irssi による報告:

終端されていないカラーフォーマットシーケンスを含むテーマをインストールすると、Irssiが文字列の末尾を越えてデータにアクセスする可能性があります。

チャネル同期の待機中に、Irssiがクエリリストからの破損したチャネルの削除に失敗して、後で状態を更新したときにメモリ解放後使用(Use After Free)状態になる可能性があります。

特定の不適切な形式のDCC CTCPメッセージによって、NULLポインターデリファレンスが引き起こされる可能性があります。

ニックやターゲットが長過ぎると、メッセージの分割中にNULLポインターデリファレンスが発生する可能性があります。

場合によっては、Irssiが、SafeチャネルIDが十分に長いことを確認できずに、文字列の末尾を越えて読み取る可能性があります。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://irssi.org/security/irssi_sa_2017_10.txt

https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=223169

http://www.nessus.org/u?3484e00c

プラグインの詳細

深刻度: High

ID: 104062

ファイル名: freebsd_pkg_85e2c7ebb74b11e785465cf3fcfdd1f1.nasl

バージョン: 3.5

タイプ: local

公開日: 2017/10/23

更新日: 2021/1/4

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.6

CVSS v2

リスクファクター: Medium

基本値: 5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P

CVSS v3

リスクファクター: High

基本値: 7.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

脆弱性情報

CPE: p-cpe:/a:freebsd:freebsd:irssi, cpe:/o:freebsd:freebsd

必要な KB アイテム: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

パッチ公開日: 2017/10/22

脆弱性公開日: 2017/10/10

参照情報

CVE: CVE-2017-15227, CVE-2017-15228, CVE-2017-15721, CVE-2017-15722, CVE-2017-15723