検出

openSUSEセキュリティ更新プログラム:rsync(openSUSE-2018-34)

critical Nessus プラグイン ID 106063

Language:

概要

リモートのopenSUSEホストに、セキュリティ更新プログラムがありません。

説明

rsyncのこの更新では、複数の問題を修正します。

これらのセキュリティの問題が修正されました:

 - CVE-2017-17434:rsyncのデーモンは、daemon_filter_listデータ構造(receiver.cのrecv_files関数内)のfnamecmpのファイル名をチェックせず、「xnamefollows」文字列(rsync.cのread_ndx_and_attrs関数内)で見つかったパス名にsanitize_paths保護メカニズムも適用しませんでした。このため、リモートの攻撃者は意図されたアクセス制限を回避することが可能でした(bsc#1071460)。

 - CVE-2017-17433:rsyncのデーモンにおけるreceiver.cのrecv_files関数は、daemon_filter_listデータ構造内のファイル名をチェックする前に特定のファイルのメタデータ更新を実行していました。このため、リモートの攻撃者は意図されたアクセス制限をバイパスすることが可能でした(bsc#1071459)。

 - CVE-2017-16548:rsyncのxattrs.cのreceive_xattr関数は、xattr名の末尾の「\0」文字をチェックしませんでした。このため、リモートの攻撃者は、サービス拒否(ヒープベースのバッファオーバーリードおよびアプリケーションクラッシュ)を引き起こしたり、細工されたデータをデーモンに送信することにより、詳細不明なその他の影響を与えたりすることが可能でした(bsc#1066644)。

 - CVE-2014-9512:攻撃者が、同期パスのファイルに対するシンボリックリンク攻撃を介して任意のファイルに書き込むのを防ぎます(bsc#915410)。

以下のセキュリティ以外の問題が、修正されました。

 - フルディスクのようなエラーの後、ファイルのアップロードを停止します(boo#1062063)

 - 所有者/グループを設定する場合でも、-Xフラグが動作することを確認します(boo#1028842)

ソリューション

影響を受けるrsyncパッケージを更新してください。

参考資料

https://bugzilla.opensuse.org/show_bug.cgi?id=1028842

https://bugzilla.opensuse.org/show_bug.cgi?id=1062063

https://bugzilla.opensuse.org/show_bug.cgi?id=1066644

https://bugzilla.opensuse.org/show_bug.cgi?id=1071459

https://bugzilla.opensuse.org/show_bug.cgi?id=1071460

https://bugzilla.opensuse.org/show_bug.cgi?id=915410

https://bugzilla.opensuse.org/show_bug.cgi?id=999847

プラグインの詳細

深刻度: Critical

ID: 106063

ファイル名: openSUSE-2018-34.nasl

バージョン: 3.4

タイプ: local

エージェント: unix

公開日: 2018/1/16

更新日: 2021/1/19

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: High

基本値: 7.5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS v3

リスクファクター: Critical

基本値: 9.8

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:rsync, p-cpe:/a:novell:opensuse:rsync-debuginfo, p-cpe:/a:novell:opensuse:rsync-debugsource, cpe:/o:novell:opensuse:42.2, cpe:/o:novell:opensuse:42.3

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

パッチ公開日: 2018/1/15

参照情報

CVE: CVE-2014-9512, CVE-2017-16548, CVE-2017-17433, CVE-2017-17434