openSUSEセキュリティ更新プログラム:lame(openSUSE-2018-214)
critical Nessus プラグイン ID 107048
Language:
概要
リモートのopenSUSEホストに、セキュリティ更新プログラムがありません。説明
このlameの更新では、以下の問題を修正します:Lameはバージョン3.100に更新されました:
- RIFF WAVEファイルのMPEGオーディオデータの検出が改善されました。sf#3545112 無効なサンプリングの検出
- 新しいスイッチ--gain <decibel>、範囲 -20.0から12.0まで、--scale<factor>を使用するよりも便利な、decibelsでのGainの調整の適用方法。
- パス処理のsf#3558466のバグを修正します
- タグ分類のsf#3567844を修正します
- パイプ入力でsf#3565659の進捗状況が表示されない問題を修正します
- 警告のないsf#3544957のスケール(空)サイレントエンコードを修正します
- sf#3580176環境変数LAMEOPTが動作しなくなる問題を修正します
- sf#3608583入力ファイル名が間違った文字エンコーディングで表示される問題を修正します(CP_UTF8を使用してWindowsコンソールで)
- 逆参照のNULLおよびバッファがNULLではないために終了する問題を修正します。(CVE-2017-15019 bsc#1082317 CVE-2017-13712 bsc#1082399 CVE-2015-9100 bsc#1082401)
- loopでのNULLポインターのデリファレンスの可能性を修正します。
- SSE命令を含む関数が、独自に適切に整列されたスタックを維持するようにします。Fabian Greffrath氏に感謝の意を表します
- 悪意のあるファイルからの複数のスタックおよびヒープ破損。
(CVE-2017-9872 bsc#1082391 CVE-2017-9871 bsc#1082392 CVE-2017-9870 bsc#1082393 CVE-2017-9869 bsc#1082395 CVE-2017-9411 bsc#1082397 CVE-2015-9101 bsc#1082400)
- CVE-2017-11720:ゼロ除算の脆弱性を修正します。
(bsc#1082311)
- CVE-2017-9410:libmp3lame/util.cのヒープベースのバッファオーバーリードおよびapのfill_buffer_resample関数を修正します(bsc#1082333)
- CVE-2017-9411:libmp3lame/util.cのfill_buffer_resample関数の無効なメモリ読み取り及びアプリケーションクラッシュを修正します(bsc#1082397)
- CVE-2017-9412:frontend/get_audio.cのunpack_read_samples関数の無効なメモリ読み取りおよびアプリケーションをクラッシュを修正します(bsc#1082340)
- スケール入力値を認識しない、クリップ検出スケールの提案を修正します
- HIPデコーダーのバグが修正されました:サンプルの頻度が低いLayer3データの混合ブロックをデコードすると、内部バッファオーバーフローが発生しました。
- lame_encode_buffer_interleaved_int()を追加します
ソリューション
影響を受けるlameパッケージを更新してください。参考資料
https://bugzilla.opensuse.org/show_bug.cgi?id=1082311
https://bugzilla.opensuse.org/show_bug.cgi?id=1082317
https://bugzilla.opensuse.org/show_bug.cgi?id=1082333
https://bugzilla.opensuse.org/show_bug.cgi?id=1082340
https://bugzilla.opensuse.org/show_bug.cgi?id=1082391
https://bugzilla.opensuse.org/show_bug.cgi?id=1082392
https://bugzilla.opensuse.org/show_bug.cgi?id=1082393
https://bugzilla.opensuse.org/show_bug.cgi?id=1082395
https://bugzilla.opensuse.org/show_bug.cgi?id=1082397
https://bugzilla.opensuse.org/show_bug.cgi?id=1082399
プラグインの詳細
深刻度: Critical
ID: 107048
ファイル名: openSUSE-2018-214.nasl
バージョン: 3.4
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2018/2/28
更新日: 2021/1/19
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: High
基本値: 7.5
現状値: 5.9
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS v3
リスクファクター: Critical
基本値: 9.8
現状値: 8.8
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:novell:opensuse:lame, p-cpe:/a:novell:opensuse:lame-debuginfo, p-cpe:/a:novell:opensuse:lame-debugsource, p-cpe:/a:novell:opensuse:lame-mp3rtp, p-cpe:/a:novell:opensuse:lame-mp3rtp-debuginfo, p-cpe:/a:novell:opensuse:libmp3lame-devel, p-cpe:/a:novell:opensuse:libmp3lame0, p-cpe:/a:novell:opensuse:libmp3lame0-32bit, p-cpe:/a:novell:opensuse:libmp3lame0-debuginfo, p-cpe:/a:novell:opensuse:libmp3lame0-debuginfo-32bit, cpe:/o:novell:opensuse:42.3
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2018/2/26
参照情報
CVE: CVE-2015-9100, CVE-2015-9101, CVE-2017-11720, CVE-2017-13712, CVE-2017-15019, CVE-2017-9410, CVE-2017-9411, CVE-2017-9412, CVE-2017-9869, CVE-2017-9870, CVE-2017-9871, CVE-2017-9872