Fedora 27:acpica-tools(2018-7c2e0a998d)

medium Nessus プラグイン ID 108777

言語:

New! プラグインの深刻度には CVSS v3 が適用されるようになりました。

プラグインの深刻度は、デフォルトで CVSS v3 を使って計算されるように更新されました。プラグインに CVSS v3 スコアがない場合には、CVSS v2 を使って深刻度が計算されます。深刻度の表示設定は、[設定]のドロップダウンで切り替えができます。

概要

リモートのFedoraホストにセキュリティ更新プログラムがありません。

説明

CVE-2017-13693、CVE-2017-13694、CVE-2017-13695のセキュリティ修正。

これは、ユーザー空間ACPICAツールのみの修正を提供します。カーネルの更新はすべて個別に処理されます。

この更新には、20190209バージョンのUpstreamソースへのアップグレードも含まれています。

---------------------------------------- 2018年2月9日。バージョン20180209の変更のサマリー:

1)ACPICAカーネル常駐サブシステム:

パッケージオブジェクト処理およびモジュールレベルのAMLコードサポートに対する最近の変更の最終統合を完了しました。これにより、パッケージオブジェクトがモジュールレベルのコードブロック内から宣言されたときに、個々のパッケージ要素からの前方参照が可能になります。他のACPI実装との互換性を提供します。

AMLモジュールレベルのコードの新しいアーキテクチャが完成し、現在ACPICAコードのデフォルトになっています。この新しいアーキテクチャは、テーブルが完全にロードされるまでこのコードを保留していた以前のアーキテクチャの代わりに、ACPIテーブルがロード/解析されると、モジュールレベルのコードをインラインで実行します。これにより、一部のASLコード順序の問題が解決され、他のACPI実装との互換性が提供されます。現時点で、以前のアーキテクチャにフォールバックするオプションがありますが、このサポートは廃止予定であり、今年後半に完全に削除される予定です。

パッケージオブジェクト内の名前付き参照要素の解決中にAE_NOT_FOUND例外を無視するためのコンパイル時オプションを追加しました。
これは深刻な問題の可能性がありますが、ファームウェアが未使用のパッケージオブジェクトを大量に処理するプラットフォームでは、多くのノイズ/エラーが発生する可能性があります。これらのエラーを無効にするには、OS固有のヘッダーでACPI_IGNORE_PACKAGE_RESOLUTION_ERRORSを定義します。AcpiExecなどのACPICAアプリケーションでは、必ずすべてのエラーが報告されます。

明示的型変換AML演算子に関連する不具合を修正しました(ToXXXX)。この不具合は2017年の早い時期に導入されましたが、最近まで確認されていませんでした。これは、このような演算子が他のACPI実装で完全にサポートされておらず、ファームウェア開発者によって使用されることがほとんどなかったためです。演算子は、「暗黙的結果オブジェクト変換」を実装しないようにACPI仕様で定義されています。この不具合では、以下の明示的変換演算子にこのオブジェクト変換が誤って導入されました:

- ToInteger

- ToString

- ToBuffer

- ToDecimalString

- ToHexString

- ToBCD

- FromBCD

2)iASLコンパイラ/逆アセンブラとツール:

iASL:ToXXXXの明示的変換演算子に関連したコンパイラ定数畳み込み機能に伴う問題を修正しました。これらの演算子は、定義によって「暗黙的結果オブジェクト変換」をサポートしません。
したがって、これらの演算子を使用するASL式を単純なStore演算子に畳み込むことはできません。これは、Store演算子は暗黙的変換を実装しているためです。この変更では、代わりにToXXXX演算子畳み込みにCopyObject演算子が使用されます。CopyObjectは、暗黙的結果変換を実装しないように定義されているため、ToXXXX演算子の畳み込みに適しています。

iASL:シンボルがローカルでと外部シンボルとしての両方で宣言されている場合は、エラー状態の深刻度を単純な警告に変更しました。これは、既存のASLコードに適合します。

AcpiExec:モジュールレベルのコードの新しいアーキテクチャを有効にするための-epオプションが削除されました。これは、逆の効果を持つ-dpオプションに置き換えられています:これは、新しいアーキテクチャ(デフォルト)を無効にし、レガシーアーキテクチャを有効にします。レガシーコードが今後削除された場合は、-dpオプションも削除されます。

注意:Tenable Network Securityは、前述の記述ブロックをFedora更新システムのWebサイトから直接抽出しています。
Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

ソリューション

影響を受けるacpica-toolsパッケージを更新してください。

関連情報

https://bodhi.fedoraproject.org/updates/FEDORA-2018-7c2e0a998d

プラグインの詳細

深刻度: Medium

ID: 108777

ファイル名: fedora_2018-7c2e0a998d.nasl

バージョン: 1.5

タイプ: local

エージェント: unix

公開日: 2018/4/2

更新日: 2021/1/6

依存関係: ssh_get_info.nasl

リスク情報

VPR

リスクファクター: Medium

スコア: 5.1

CVSS v2

リスクファクター: Medium

Base Score: 4.9

ベクトル: AV:L/AC:L/Au:N/C:C/I:N/A:N

CVSS v3

リスクファクター: Medium

Base Score: 5.5

ベクトル: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

脆弱性情報

CPE: p-cpe:/a:fedoraproject:fedora:acpica-tools, cpe:/o:fedoraproject:fedora:27

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list

パッチ公開日: 2018/4/1

脆弱性公開日: 2017/8/25

参照情報

CVE: CVE-2017-13693, CVE-2017-13694, CVE-2017-13695