openSUSEセキュリティ更新プログラム:ICU(openSUSE-2018-517)
critical Nessus プラグイン ID 110107
Language:
概要
リモートのopenSUSEホストに、セキュリティ更新プログラムがありません。説明
icuが更新され、2件のセキュリティ問題が修正されました。これらのセキュリティの問題が修正されました:
- CVE-2014-8147:The resolveImplicitLevels function in common/ubidi.c in the Unicode Bidirectional Algorithm implementation in ICU4C in International Components for Unicode (ICU) used an integer data type that is inconsistent with a header file, which allowed remote attackers to cause a denial of service (incorrect malloc followed by invalid free) or possibly execute arbitrary code via crafted text (bsc#929629).
- CVE-2014-8146:The resolveImplicitLevels function in common/ubidi.c in the Unicode Bidirectional Algorithm implementation in ICU4C in International Components for Unicode (ICU) did not properly track directionally isolated pieces of text, which allowed remote attackers to cause a denial of service (heap-based buffer overflow) or possibly execute arbitrary code via crafted text (bsc#929629).
- CVE-2016-6293:C/C++用のInternational Components for Unicode(ICU)のcommon/uloc.cppにあるuloc_acceptLanguageFromHTTP関数が、特定の一時配列の末尾に「\0」文字があることを保証していなかったため、リモート攻撃者が、長いhttpAcceptLanguage引数を使用した呼び出しを介して、サービス拒否(領域外読み取り)を引き起こしたり、詳細不明なその他の影響を及ぼしたりする可能性がありました(bsc#990636)。
- CVE-2017-7868:C/C++ 2017-02-13用のInternational Components for Unicode(ICU)には、common/utext.cppのutf8TextAccess関数とutext_moveIndex32*関数に関連するヒープベースのバッファオーバーフローによって引き起こされる領域外書き込みがあります(bsc#1034674)
- CVE-2017-7867:C/C++ 2017-02-13用のInternational Components for Unicode(ICU)には、common/utext.cppのutf8TextAccess関数とutext_setNativeIndex*関数に関連するヒープベースのバッファオーバーフローによって引き起こされる領域外書き込みがあります(bsc#1034678)
- CVE-2017-14952:C/C++用のInternational Components for Unicode(ICU)内のi18n/zonemeta.cppの二重解放により、リモート攻撃者が、細工された文字列を介して、任意のコードを実行する可能性がありました。この問題は、「冗長なUVectorエントリクリーンアップ関数の呼び出し」問題として知られています(bnc#1067203)
- CVE-2017-17484:C/C++用のInternational Components for Unicode(ICU)内のucnv_u8.cppのucnv_UTF8FromUTF8関数が、UTF-8からUTF-8への変換のucnv_convertEx呼び出しを不適切に処理していたため、リモート攻撃者が、細工された文字列を介して、サービス拒否(スタックベースのバッファオーバーフローとアプリケーションクラッシュ)を引き起こしたり、詳細不明なその他の影響を与えたりする可能性がありした。この問題はす(ZNCにより実証されています) <a id="x1">([])</a>bnc#1072193
- CVE-2017-15422:ペルシャカレンダーの日付処理中のicuでの整数オーバーフローにより、不正な年が表示される可能性がありました(bnc#1077999)
This update was imported from the SUSE: SLE-12:Update update project.
ソリューション
影響を受けるicuパッケージを更新してください。参考資料
https://bugzilla.opensuse.org/show_bug.cgi?id=1034674
https://bugzilla.opensuse.org/show_bug.cgi?id=1034678
https://bugzilla.opensuse.org/show_bug.cgi?id=1067203
https://bugzilla.opensuse.org/show_bug.cgi?id=1072193
https://bugzilla.opensuse.org/show_bug.cgi?id=1077999
https://bugzilla.opensuse.org/show_bug.cgi?id=1087932
プラグインの詳細
深刻度: Critical
ID: 110107
ファイル名: openSUSE-2018-517.nasl
バージョン: 1.4
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2018/5/25
更新日: 2021/1/19
サポートされているセンサー: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: High
基本値: 7.5
現状値: 5.9
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS v3
リスクファクター: Critical
基本値: 9.8
現状値: 8.8
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:novell:opensuse:icu, p-cpe:/a:novell:opensuse:icu-data, p-cpe:/a:novell:opensuse:icu-debuginfo, p-cpe:/a:novell:opensuse:icu-debugsource, p-cpe:/a:novell:opensuse:libicu-devel, p-cpe:/a:novell:opensuse:libicu-devel-32bit, p-cpe:/a:novell:opensuse:libicu52_1, p-cpe:/a:novell:opensuse:libicu52_1-32bit, p-cpe:/a:novell:opensuse:libicu52_1-data, p-cpe:/a:novell:opensuse:libicu52_1-debuginfo, p-cpe:/a:novell:opensuse:libicu52_1-debuginfo-32bit, cpe:/o:novell:opensuse:42.3
必要な KB アイテム: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2018/5/25
参照情報
CVE: CVE-2014-8146, CVE-2014-8147, CVE-2016-6293, CVE-2017-14952, CVE-2017-15422, CVE-2017-17484, CVE-2017-7867, CVE-2017-7868