FreeBSD: shibboleth-sp -- 無効な形式の日付/時刻コンテンツでのクラッシュ（4f8665d0-0465-11e9-b77a-6cc21735f730）

high Nessus プラグイン ID 119822

Language:

概要

リモートのFreeBSDホストに、セキュリティ関連の更新プログラムがありません。

説明

Shibboleth Consortiumによる報告:

SAMLメッセージ、アサーション、およびメタデータはすべて、標準のXML形式の日付/時刻情報を含むのが一般的です。

このようなフィールドの無効なフォーマット済みデータは、V3ソフトウェアで適切に処理されなかったタイプの例外を引き起こし、クラッシュを引き起こします（通常はshibdデーモンプロセスに対してですが、まれにApacheに対しても引き起こします）。注意: クラッシュはメッセージの信頼性を評価する前に発生するため、信頼できない攻撃者によって悪用される可能性があります。

この問題はV3ソフトウェアに固有のものであると考えられ、現在はサポートされていない古いV2ソフトウェアではクラッシュを引き起こしません。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://shibboleth.net/community/advisories/secadv_20181219a.txt

http://www.nessus.org/u?54ae2132

プラグインの詳細

深刻度: High

ID: 119822

ファイル名: freebsd_pkg_4f8665d0046511e9b77a6cc21735f730.nasl

バージョン: 1.1

タイプ: local

ファミリー: FreeBSD Local Security Checks

公開日: 2018/12/21

更新日: 2018/12/21

サポートされているセンサー: Nessus

脆弱性情報

CPE: p-cpe:/a:freebsd:freebsd:shibboleth-sp, cpe:/o:freebsd:freebsd

必要な KB アイテム: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

パッチ公開日: 2018/12/20

脆弱性公開日: 2018/12/19