検出

openSUSEセキュリティ更新プログラム:nodejs4(openSUSE-2018-5)

critical Nessus プラグイン ID 105638

Language:

概要

リモートのopenSUSEホストに、セキュリティ更新プログラムがありません。

説明

このnodejs4の更新では、以下の問題を修正します:

キャッシュサイドチャネル攻撃の軽減:

 - CVE-2017-15896:埋め込みOpenSSLによりCVE-2017-3737に脆弱です(bsc#1072322)。

 - CVE-2017-14919:埋め込みzlibの問題により、特定のwindowBits値を介してDoSが引き起こされる可能性があります。

 - CVE-2017-3738:埋め込みOpenSSLは、x86_64のrsaz_1024_mul_avx2のオーバーフローバグに脆弱です。

 - CVE-2017-3736:埋め込みOpenSSLは、x86_64のbn_sqrx8x_internalキャリーバグに脆弱です(bsc#1066242)。

 - CVE-2017-3735:埋め込みOpenSSLは、OOB読み取りを引き起こす可能性がある不正なX.509 IPAdressFamilyに脆弱です(bsc#1056058)。

バグ修正:

 リリース 4.8.7への更新(bsc#1072322):

 -https://nodejs.org/en/blog/vulnerability/december-2017-security-releases/

 -https://nodejs.org/en/blog/release/v4.8.7/

 -https://nodejs.org/en/blog/release/v4.8.6/

 -https://nodejs.org/en/blog/release/v4.8.5/

この更新はSUSEからインポートされました:SLE-12:更新プロジェクトを更新します。

ソリューション

影響を受けるnodejs4パッケージを更新してください。

参考資料

https://bugzilla.opensuse.org/show_bug.cgi?id=1056058

https://bugzilla.opensuse.org/show_bug.cgi?id=1066242

https://bugzilla.opensuse.org/show_bug.cgi?id=1072322

https://nodejs.org/en/blog/release/v4.8.5/

https://nodejs.org/en/blog/release/v4.8.6/

https://nodejs.org/en/blog/release/v4.8.7/

http://www.nessus.org/u?23d8f9db

プラグインの詳細

深刻度: Critical

ID: 105638

ファイル名: openSUSE-2018-5.nasl

バージョン: 3.7

タイプ: local

エージェント: unix

公開日: 2018/1/8

更新日: 2021/1/19

サポートされているセンサー: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.2

CVSS v2

リスクファクター: Medium

基本値: 6.4

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:N

CVSS v3

リスクファクター: Critical

基本値: 9.1

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:nodejs4, p-cpe:/a:novell:opensuse:nodejs4-debuginfo, p-cpe:/a:novell:opensuse:nodejs4-debugsource, p-cpe:/a:novell:opensuse:nodejs4-devel, p-cpe:/a:novell:opensuse:npm4, cpe:/o:novell:opensuse:42.2, cpe:/o:novell:opensuse:42.3

必要な KB アイテム: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu

パッチ公開日: 2018/1/5

参照情報

CVE: CVE-2017-14919, CVE-2017-15896, CVE-2017-3735, CVE-2017-3736, CVE-2017-3737, CVE-2017-3738