Debian DLA-1637-1: aptのセキュリティ更新(修正済み)
high Nessus プラグイン ID 121314
Language:
概要
リモートの Debian ホストにセキュリティ更新プログラムがありません。説明
(安定版ではなく、以下のsources.listエントリのjessieを参照するように修正しました)Max Justicz氏は、高度なパッケージマネージャーであるAPTで脆弱性を発見しました。HTTPトランスポートメソッドでHTTPリダイレクトを処理するコードが、ネットワークを介して送信されたフィールドを適切にサニタイズしません。APTとミラーの間の中間に位置する攻撃者がこの脆弱性を利用して、HTTP接続で悪意のあるコンテンツを挿入する可能性があります。このコンテンツはその後、APTによって有効なパッケージとして認識され、ターゲットマシンでroot権限を使ってコードを実行するために後で使用される可能性があります。
この脆弱性はパッケージマネージャー自体に存在するため、悪用を防ぐために、次を使用してこのアップグレード中のみリダイレクトを無効にすることが勧められています。
apt -o Acquire: : http: : AllowRedirect=false update apt -o Acquire: : http: : AllowRedirect=false upgrade
これは、security.debian.orgに対して使用されると、一部のプロキシが破損することが知られています。これが発生した場合、次を使用するように、セキュリティAPTソースを切り替えることができます:
deb http://cdn-fastly.deb.debian.org/debian-security jessie / updates main
Debian 8「Jessie」では、この問題はバージョン1.0.9.8.5で修正されました。
aptパッケージをアップグレードすることをお勧めします。
特定のアップグレード手順:
リダイレクトなしのAPTを使用したアップグレードが状況によって不可能な場合は、以下に記載されているURLを使用し、ハッシュが一致していることを確認しながら、お使いのアーキテクチャ用のファイル(wget/curlを使用)を手動でダウンロードできます。その後、dpkg -iを使用してこれらをインストールできます。
アーキテクチャに依存しないファイル:
http://security.debian.org/debian-security/pool/updates/main/a/apt/apt
-doc_1.0.9.8.5_all.deb Size/SHA256 checksum: 301106 47df9567e45fadcd2a56c0fd3d514d8136f2f206aa7baa47405c6fcb94824ab6 http://security.debian.org/debian-security/pool/updates/main/a/apt/lib apt-pkg-doc_1.0.9.8.5_all.deb Size/SHA256 checksum: 750506 ce79b2ef272716b8da11f3fd0497ce0b7ee69c9c66d01669e8abbbfdde5e6256
amd64アーキテクチャ:
http://security.debian.org/debian-security/pool/updates/main/a/apt/lib apt-pkg4.12_1.0.9.8.5_amd64.deb Size/SHA256 checksum: 792126 295d9c69854a4cfbcb46001b09b853f5a098a04c986fc5ae01a0124c1c27e6bd http://security.debian.org/debian-security/pool/updates/main/a/apt/lib apt-inst1.5_1.0.9.8.5_amd64.deb Size/SHA256 checksum: 168896 f9615532b1577b3d1455fa51839ce91765f2860eb3a6810fb5e0de0c87253030 http://security.debian.org/debian-security/pool/updates/main/a/apt/apt
_1.0.9.8.5_amd64.deb Size/SHA256 checksum: 1109308 4078748632abc19836d045f80f9d6933326065ca1d47367909a0cf7f29e7dfe8 http://security.debian.org/debian-security/pool/updates/main/a/apt/lib apt-pkg-dev_1.0.9.8.5_amd64.deb Size/SHA256 checksum: 192950 09ef86d178977163b8cf0081d638d74e0a90c805dd77750c1d91354b6840b032 http://security.debian.org/debian-security/pool/updates/main/a/apt/apt
-utils_1.0.9.8.5_amd64.deb Size/SHA256 checksum: 368396 87c55d9ccadcabd59674873c221357c774020c116afd978fb9df6d2d0303abf2 http://security.debian.org/debian-security/pool/updates/main/a/apt/apt
-transport-https_1.0.9.8.5_amd64.deb Size/SHA256 checksum: 137230 f5a17422fd319ff5f6e3ea9a9e87d2508861830120125484130da8c1fd479df2
armelアーキテクチャ:
http://security.debian.org/debian-security/pool/updates/main/a/apt/lib apt-pkg4.12_1.0.9.8.5_armel.deb Size/SHA256 checksum: 717002 80fe021d87f2444abdd7c5491e7a4bf9ab9cb2b8e6fa72d308905f4e0aad60d4 http://security.debian.org/debian-security/pool/updates/main/a/apt/lib apt-inst1.5_1.0.9.8.5_armel.deb Size/SHA256 checksum: 166784 046fb962fa214c5d6acfb7344e7719f8c4898d87bf29ed3cd2115e3f6cdd14e9 http://security.debian.org/debian-security/pool/updates/main/a/apt/apt
_1.0.9.8.5_armel.deb Size/SHA256 checksum: 1067404 f9a257d6aace1f222633e0432abf1d6946bad9dbd0ca18dccb288d50f17b895f http://security.debian.org/debian-security/pool/updates/main/a/apt/lib apt-pkg-dev_1.0.9.8.5_armel.deb Size/SHA256 checksum: 193768 4cb226f55132a68a2f5db925ada6147aaf052adb02301fb45fb0c2d1cfce36f0 http://security.debian.org/debian-security/pool/updates/main/a/apt/apt
-utils_1.0.9.8.5_armel.deb Size/SHA256 checksum: 353178 38042838d8bc79642e5389be7d2d2d967cbf316805d4c8c2d6afbe1bc164aacc http://security.debian.org/debian-security/pool/updates/main/a/apt/apt
-transport-https_1.0.9.8.5_armel.deb Size/SHA256 checksum: 134932 755b6d22f5914f3153a1c15427e5221507b174c0a4c6b860ebd16234c9e9a146
armhfアーキテクチャ:
http://security.debian.org/debian-security/pool/updates/main/a/apt/lib apt-pkg4.12_1.0.9.8.5_armhf.deb Size/SHA256 checksum: 734302 0f48f6d0406afdf0bd4d39e90e56460fab3d9b5fa4c91e2dca78ec22caf2fe2a http://security.debian.org/debian-security/pool/updates/main/a/apt/lib apt-inst1.5_1.0.9.8.5_armhf.deb Size/SHA256 checksum: 166556 284a1ffd529e1daab3c300be17a20f11450555be9c0af166d9796c18147a03ba http://security.debian.org/debian-security/pool/updates/main/a/apt/apt
_1.0.9.8.5_armhf.deb Size/SHA256 checksum: 1078212 08d85c30c8e4a6df0dced8e232a6c7639caa231acef4af8fdee2c1e07f0178ba http://security.debian.org/debian-security/pool/updates/main/a/apt/lib apt-pkg-dev_1.0.9.8.5_armhf.deb Size/SHA256 checksum: 193796 3a26bd79677b46ce0a992e2ac808c4bbd2d5b3fc37b57fc93c8efa114de1adaa http://security.debian.org/debian-security/pool/updates/main/a/apt/apt
-utils_1.0.9.8.5_armhf.deb Size/SHA256 checksum: 357074 19dec9ffc0fe4a86d6e61b5213e75c55ae6aaade6f3804f90e2e4034bbdc44d8 http://security.debian.org/debian-security/pool/updates/main/a/apt/apt
-transport-https_1.0.9.8.5_armhf.deb Size/SHA256 checksum: 135072 06ba556c5218e58fd14119e3b08a08f685209a0cbe09f2328bd572cabc580bca
i386アーキテクチャ:
http://security.debian.org/debian-security/pool/updates/main/a/apt/lib apt-pkg4.12_1.0.9.8.5_i386.deb Size/SHA256 checksum: 800840 201b6cf4625ed175e6a024ac1f7ca6c526ca79d859753c125b02cd69e26c349d http://security.debian.org/debian-security/pool/updates/main/a/apt/lib apt-inst1.5_1.0.9.8.5_i386.deb Size/SHA256 checksum: 170484 5791661dd4ade72b61086fefdc209bd1f76ac7b7c812d6d4ba951b1a6232f0b9 http://security.debian.org/debian-security/pool/updates/main/a/apt/apt
_1.0.9.8.5_i386.deb Size/SHA256 checksum: 1110418 13c230e9c544b1e67a8da413046bf1728526372170533b1a23e70cc99c40a228 http://security.debian.org/debian-security/pool/updates/main/a/apt/lib apt-pkg-dev_1.0.9.8.5_i386.deb Size/SHA256 checksum: 193780 c5b1bfa913ea2e2e332c228f5c5fe4dbc11ab334d0551a68ba6e87e94a51ffee http://security.debian.org/debian-security/pool/updates/main/a/apt/apt
-utils_1.0.9.8.5_i386.deb Size/SHA256 checksum: 371218 1a74b12c8bb6b3968a721f3aa96739073e4fe2ced9302792c533e21535bc9cf4 http://security.debian.org/debian-security/pool/updates/main/a/apt/apt
-transport-https_1.0.9.8.5_i386.deb Size/SHA256 checksum: 139036 32148d92914a97df8bbb9f223e788dcbc7c39e570cf48e6759cb483a65b68666
注: Tenable Network Securityは、前述の記述ブロックをDLAセキュリティアドバイザリーから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。
ソリューション
影響を受けるパッケージをアップグレードしてください。参考資料
http://cdn-fastly.deb.debian.org/debian-security
http://www.nessus.org/u?868b0759
http://www.nessus.org/u?d4ec6efb
http://www.nessus.org/u?985bde3e
http://www.nessus.org/u?10108a63
http://www.nessus.org/u?353fda54
http://www.nessus.org/u?d5383837
http://www.nessus.org/u?f7b7a168
http://www.nessus.org/u?a7d39274
http://www.nessus.org/u?73187c9f
http://www.nessus.org/u?c9f313ea
http://www.nessus.org/u?ce74b7bd
http://www.nessus.org/u?f96c8811
http://www.nessus.org/u?7ccdd0a1
http://www.nessus.org/u?3e388cff
http://www.nessus.org/u?07af7490
http://www.nessus.org/u?aa3c5561
http://www.nessus.org/u?59f97850
http://www.nessus.org/u?aca38205
http://www.nessus.org/u?d45da10d
http://www.nessus.org/u?0f076bbb
http://www.nessus.org/u?9f26eed9
http://www.nessus.org/u?21aa89cb
http://www.nessus.org/u?f455a86b
http://www.nessus.org/u?17636c22
http://www.nessus.org/u?0e4b3dfb
http://www.nessus.org/u?7c4de272
https://lists.debian.org/debian-lts-announce/2019/01/msg00014.html
プラグインの詳細
深刻度: High
ID: 121314
ファイル名: debian_DLA-1637.nasl
バージョン: 1.6
タイプ: local
エージェント: unix
ファミリー: Debian Local Security Checks
公開日: 2019/1/23
更新日: 2021/1/11
サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: High
スコア: 7.4
CVSS v2
リスクファクター: High
基本値: 9.3
現状値: 6.9
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C
CVSS v3
リスクファクター: High
基本値: 8.1
現状値: 7.1
ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:debian:debian_linux:apt, p-cpe:/a:debian:debian_linux:apt-doc, p-cpe:/a:debian:debian_linux:apt-transport-https, p-cpe:/a:debian:debian_linux:apt-utils, p-cpe:/a:debian:debian_linux:libapt-inst1.5, p-cpe:/a:debian:debian_linux:libapt-pkg-dev, p-cpe:/a:debian:debian_linux:libapt-pkg-doc, p-cpe:/a:debian:debian_linux:libapt-pkg4.12, cpe:/o:debian:debian_linux:8.0
必要な KB アイテム: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2019/1/22
脆弱性公開日: 2019/1/28
参照情報
CVE: CVE-2019-3462