CVE-2017-7653

無効なUTF-8文字列が正しくチェックされないため、攻撃者は特別な細工をしたトピックでブローカーから切断することで、他のクライアントにサービス拒否を引き起こす可能性があります。

CVE-2017-7654

メモリリークにより、認証されていないクライアントが特別に細工されたCONNECTパケットを送信し、ブローカーでサービス拒否を引き起こす可能性があります。

CVE-2017-9868

ファイルの権限が間違っているため、ローカルユーザーがmosquittoデータベースからトピック情報を入手する可能性があります。

Debian 8「Jessie」では、これらの問題はバージョン1.3.4-2+deb8u3で修正されました。

mosquittoのパッケージをアップグレードすることをお勧めします。

注: Tenable Network Securityは、前述の記述ブロックをDLAセキュリティアドバイザリーから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

検出

Debian DLA-1525-1: mosquittoのセキュリティ更新

high Nessus プラグイン ID 117835

変更ログが見つかりません