openSUSEセキュリティ更新プログラム:ICU(openSUSE-2018-517)

critical Nessus プラグイン ID 110107

言語:

概要

リモートのopenSUSEホストに、セキュリティ更新プログラムがありません。

説明

icuが更新され、2件のセキュリティ問題が修正されました。

これらのセキュリティの問題が修正されました:

- CVE-2014-8147:The resolveImplicitLevels function in common/ubidi.c in the Unicode Bidirectional Algorithm implementation in ICU4C in International Components for Unicode (ICU) used an integer data type that is inconsistent with a header file, which allowed remote attackers to cause a denial of service (incorrect malloc followed by invalid free) or possibly execute arbitrary code via crafted text (bsc#929629).

- CVE-2014-8146:The resolveImplicitLevels function in common/ubidi.c in the Unicode Bidirectional Algorithm implementation in ICU4C in International Components for Unicode (ICU) did not properly track directionally isolated pieces of text, which allowed remote attackers to cause a denial of service (heap-based buffer overflow) or possibly execute arbitrary code via crafted text (bsc#929629).

- CVE-2016-6293:C/C++用のInternational Components for Unicode(ICU)のcommon/uloc.cppにあるuloc_acceptLanguageFromHTTP関数が、特定の一時配列の末尾に「\0」文字があることを保証していなかったため、リモート攻撃者が、長いhttpAcceptLanguage引数を使用した呼び出しを介して、サービス拒否(領域外読み取り)を引き起こしたり、詳細不明なその他の影響を及ぼしたりする可能性がありました(bsc#990636)。

- CVE-2017-7868:C/C++ 2017-02-13用のInternational Components for Unicode(ICU)には、common/utext.cppのutf8TextAccess関数とutext_moveIndex32*関数に関連するヒープベースのバッファオーバーフローによって引き起こされる領域外書き込みがあります(bsc#1034674)

- CVE-2017-7867:C/C++ 2017-02-13用のInternational Components for Unicode(ICU)には、common/utext.cppのutf8TextAccess関数とutext_setNativeIndex*関数に関連するヒープベースのバッファオーバーフローによって引き起こされる領域外書き込みがあります(bsc#1034678)

- CVE-2017-14952:C/C++用のInternational Components for Unicode(ICU)内のi18n/zonemeta.cppの二重解放により、リモート攻撃者が、細工された文字列を介して、任意のコードを実行する可能性がありました。この問題は、「冗長なUVectorエントリクリーンアップ関数の呼び出し」問題として知られています(bnc#1067203)

- CVE-2017-17484:C/C++用のInternational Components for Unicode(ICU)内のucnv_u8.cppのucnv_UTF8FromUTF8関数が、UTF-8からUTF-8への変換のucnv_convertEx呼び出しを不適切に処理していたため、リモート攻撃者が、細工された文字列を介して、サービス拒否(スタックベースのバッファオーバーフローとアプリケーションクラッシュ)を引き起こしたり、詳細不明なその他の影響を与えたりする可能性がありした。この問題はす(ZNCにより実証されています) <a id="x1">([])</a>bnc#1072193

- CVE-2017-15422:ペルシャカレンダーの日付処理中のicuでの整数オーバーフローにより、不正な年が表示される可能性がありました(bnc#1077999)

This update was imported from the SUSE: SLE-12:Update update project.

ソリューション

影響を受けるicuパッケージを更新してください。

関連情報

https://bugzilla.opensuse.org/show_bug.cgi?id=1034674

https://bugzilla.opensuse.org/show_bug.cgi?id=1034678

https://bugzilla.opensuse.org/show_bug.cgi?id=1067203

https://bugzilla.opensuse.org/show_bug.cgi?id=1072193

https://bugzilla.opensuse.org/show_bug.cgi?id=1077999

https://bugzilla.opensuse.org/show_bug.cgi?id=1087932

https://bugzilla.opensuse.org/show_bug.cgi?id=929629

https://bugzilla.opensuse.org/show_bug.cgi?id=990636

プラグインの詳細

深刻度: Critical

ID: 110107

ファイル名: openSUSE-2018-517.nasl

バージョン: 1.4

タイプ: local

エージェント: unix

公開日: 2018/5/25

更新日: 2021/1/19

サポートされているセンサー: Nessus Agent

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: High

Base Score: 7.5

Temporal Score: 5.9

ベクトル: AV:N/AC:L/Au:N/C:P/I:P/A:P

現状ベクトル: E:POC/RL:OF/RC:C

CVSS v3

リスクファクター: Critical

Base Score: 9.8

Temporal Score: 8.8

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: E:P/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:icu, p-cpe:/a:novell:opensuse:icu-data, p-cpe:/a:novell:opensuse:icu-debuginfo, p-cpe:/a:novell:opensuse:icu-debugsource, p-cpe:/a:novell:opensuse:libicu-devel, p-cpe:/a:novell:opensuse:libicu-devel-32bit, p-cpe:/a:novell:opensuse:libicu52_1, p-cpe:/a:novell:opensuse:libicu52_1-32bit, p-cpe:/a:novell:opensuse:libicu52_1-data, p-cpe:/a:novell:opensuse:libicu52_1-debuginfo, p-cpe:/a:novell:opensuse:libicu52_1-debuginfo-32bit, cpe:/o:novell:opensuse:42.3

必要な KB アイテム: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2018/5/25

参照情報

CVE: CVE-2014-8146, CVE-2014-8147, CVE-2016-6293, CVE-2017-14952, CVE-2017-15422, CVE-2017-17484, CVE-2017-7867, CVE-2017-7868