SUSE SLED12 / SLES12セキュリティ更新プログラム:poppler(SUSE-SU-2018:1662-1)
high Nessus プラグイン ID 110512
Language:
概要
リモートのSUSEホストに1つ以上のセキュリティ更新がありません。説明
このpopplerの更新では、次の問題が修正されます:これらのセキュリティの問題が修正されました:- CVE-2017-14517:細工されたPDFドキュメントを介したXRef: : parseEntry()関数でのNULLポインターデリファレンスを防止します(bsc#1059066)。
- CVE-2017-9865:攻撃者が、特別に細工されたPDFドキュメントを介して、サービス拒否攻撃を容易にする可能性のあるGfxState.ccのスタックベースのバッファオーバーフローの脆弱性を修正しました。(bsc#1045939)
- CVE-2017-14518:isImageInterpolationRequired()での浮動小数点数の例外を修正します。この例外は、特別に細工されたPDFドキュメントを使用して悪用される可能性がありました。
(bsc#1059101)
- CVE-2017-14520:- Splash: : scaleImageYuXd()の浮動小数点数の例外を修正します。この例外は、特別に細工されたPDFドキュメントを使用して悪用される可能性がありました(bsc#1059155)
- CVE-2017-14617:悪意のあるPDFファイルを処理したときに潜在的な攻撃につながる可能性のあるStream.ccの浮動小数点例外を修正しました。(bsc#1060220)
- CVE-2017-14928:AnnotRichMedia: : Configuration: : Configuration()(Annot.cc)のNULLポインター逆参照を修正しました。この問題は、悪意のあるPDFファイルを処理したときに潜在的な攻撃につながる可能性があります。(bsc#1061092)
- CVE-2017-14975:FoFiType1C.cc内のデータ構造が初期化されていないために存在していたNULLポインター逆参照の脆弱性を修正しました。この脆弱性により、攻撃者がサービス拒否攻撃を開始する可能性がありました。
(bsc#1061263)
- CVE-2017-14976:領域外フォントディクショナリインデックスに遭遇した場合に発生したFoFiType1C.ccでのヒープベースのバッファオーバーリードの脆弱性を修正しました。この脆弱性により、攻撃者がサービス拒否攻撃を開始する可能性がありました。(bsc#1061264)
- CVE-2017-14977:FoFiTrueType.ccのFoFiTrueType: : getCFFBlock()関数でのNULLポインターデリファレンスの脆弱性を修正しました。この脆弱性により、攻撃者がサービス拒否攻撃を開始できる可能性がありました。(bsc#1061265)
- CVE-2017-15565:細工されたPDFドキュメントによるGfxImageColorMap: : getGrayLine()関数でのNULLポインター逆参照を阻止します(bsc#1064593)。
- CVE-2017-1000456:TextPool: : addWordで境界を検証し、後続の計算でのオーバーフローを阻止します(bsc#1074453)。
注意:Tenable Network Securityは、前述の記述ブロックをSUSEセキュリティアドバイザリから直接抽出しています。Tenableでは、そこに新しい問題を追加することはせずに、できる限り自動的に整理と書式設定をするようにしています。
ソリューション
このSUSEセキュリティ更新プログラムをインストールするには、YaSTのonline_updateや「zypper patch」など、SUSEが推奨するインストール方法を使用してください。別の方法として、製品にリストされているコマンドを実行することができます:
SUSE Linux Enterprise Software Development Kit 12-SP3:zypper in -t patch SUSE-SLE-SDK-12-SP3-2018-1125=1
SUSE Linux Enterprise Server 12-SP3:zypper in -t patch SUSE-SLE-SERVER-12-SP3-2018-1125=1
SUSE Linux Enterprise Desktop 12-SP3:zypper in -t patch SUSE-SLE-DESKTOP-12-SP3-2018-1125=1
参考資料
https://bugzilla.suse.com/show_bug.cgi?id=1045939
https://bugzilla.suse.com/show_bug.cgi?id=1059066
https://bugzilla.suse.com/show_bug.cgi?id=1059101
https://bugzilla.suse.com/show_bug.cgi?id=1059155
https://bugzilla.suse.com/show_bug.cgi?id=1060220
https://bugzilla.suse.com/show_bug.cgi?id=1061092
https://bugzilla.suse.com/show_bug.cgi?id=1061263
https://bugzilla.suse.com/show_bug.cgi?id=1061264
https://bugzilla.suse.com/show_bug.cgi?id=1061265
https://bugzilla.suse.com/show_bug.cgi?id=1064593
https://bugzilla.suse.com/show_bug.cgi?id=1074453
https://www.suse.com/security/cve/CVE-2017-1000456/
https://www.suse.com/security/cve/CVE-2017-14517/
https://www.suse.com/security/cve/CVE-2017-14518/
https://www.suse.com/security/cve/CVE-2017-14520/
https://www.suse.com/security/cve/CVE-2017-14617/
https://www.suse.com/security/cve/CVE-2017-14928/
https://www.suse.com/security/cve/CVE-2017-14975/
https://www.suse.com/security/cve/CVE-2017-14976/
https://www.suse.com/security/cve/CVE-2017-14977/
https://www.suse.com/security/cve/CVE-2017-15565/
プラグインの詳細
深刻度: High
ID: 110512
ファイル名: suse_SU-2018-1662-1.nasl
バージョン: 1.6
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2018/6/13
更新日: 2019/9/10
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: Medium
基本値: 6.8
現状値: 5
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
CVSS v3
リスクファクター: High
基本値: 8.8
現状値: 7.7
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:novell:suse_linux:libpoppler-glib8, p-cpe:/a:novell:suse_linux:libpoppler-glib8-debuginfo, p-cpe:/a:novell:suse_linux:libpoppler-qt4, p-cpe:/a:novell:suse_linux:libpoppler-qt4-4-debuginfo, p-cpe:/a:novell:suse_linux:libpoppler60, p-cpe:/a:novell:suse_linux:libpoppler60-debuginfo, p-cpe:/a:novell:suse_linux:poppler-debugsource, p-cpe:/a:novell:suse_linux:poppler-qt-debugsource, p-cpe:/a:novell:suse_linux:poppler-tools, p-cpe:/a:novell:suse_linux:poppler-tools-debuginfo, cpe:/o:novell:suse_linux:12
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2018/6/12
脆弱性公開日: 2017/6/25
参照情報
CVE: CVE-2017-1000456, CVE-2017-14517, CVE-2017-14518, CVE-2017-14520, CVE-2017-14617, CVE-2017-14928, CVE-2017-14975, CVE-2017-14976, CVE-2017-14977, CVE-2017-15565, CVE-2017-9865