DebianDSA-4255-1:ant - セキュリティ更新

high Nessus プラグイン ID 111317

概要

リモートのDebianホストにセキュリティ関連の更新プログラムがありません。

説明

Danny Grander氏は、makeのようなJavaベースのビルドツールであるantのunzipタスクとuntarタスクにより、ファイルがターゲットディレクトリ外で抽出可能であることを報告しました。攻撃者は、この欠陥を利用して、特別に細工されたZipまたはTarアーカイブをantビルドに送信することで、antを実行しているユーザーが書き込み可能なファイルを上書きします。

ソリューション

antパッケージをアップグレードしてください。

安定版(stable)ディストリビューション(stretch)では、この問題はバージョン1.9.9-1+deb9u1で修正されています。

参考資料

https://security-tracker.debian.org/tracker/source-package/ant

https://packages.debian.org/source/stretch/ant

https://www.debian.org/security/2018/dsa-4255

プラグインの詳細

深刻度: High

ID: 111317

ファイル名: debian_DSA-4255.nasl

バージョン: 1.3

タイプ: local

エージェント: unix

公開日: 2018/7/25

更新日: 2018/11/13

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

脆弱性情報

CPE: p-cpe:/a:debian:debian_linux:ant, cpe:/o:debian:debian_linux:9.0

必要な KB アイテム: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

パッチ公開日: 2018/7/24

参照情報

CVE: CVE-2018-10886

DSA: 4255