FreeBSD : shibboleth-sp -- 不正な形式の日付/時刻コンテンツでのクラッシュ (4f8665d0-0465-11e9-b77a-6cc21735f730)

high Nessus プラグイン ID 119822

Language:

概要

リモートの FreeBSD ホストに、セキュリティ関連の更新プログラムがありません。

説明

Shibboleth Consortiumによる報告 :

SAMLメッセージ、アサーション、およびメタデータすべてに、一般に標準XMLフォーマットの日付/時刻情報が含まれています。

このようなフィールドに無効なフォーマット済みデータがあると、V3ソフトウェアで適切に処理されなかった型の例外が発生し、（通常はshibdデーモンプロセスに対してですが、まれにApacheに対して）クラッシュを引き起こします。クラッシュは、メッセージの真正性を評価する前に発生するため、信頼できない攻撃者によって悪用される可能性があります。

この問題はV3ソフトウェアに特有のものであると考えられており、現在はサポートされていない古いV2ソフトウェアではクラッシュは発生しません。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://shibboleth.net/community/advisories/secadv_20181219a.txt

http://www.nessus.org/u?54ae2132

プラグインの詳細

深刻度: High

ID: 119822

ファイル名: freebsd_pkg_4f8665d0046511e9b77a6cc21735f730.nasl

バージョン: 1.1

タイプ: local

ファミリー: FreeBSD Local Security Checks

公開日: 2018/12/21

更新日: 2018/12/21

サポートされているセンサー: Nessus

脆弱性情報

CPE: p-cpe:/a:freebsd:freebsd:shibboleth-sp, cpe:/o:freebsd:freebsd

必要な KB アイテム: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

パッチ公開日: 2018/12/20

脆弱性公開日: 2018/12/19