SUSE SLED12セキュリティ更新プログラム:podofo(SUSE-SU-2019:0393-1)

high Nessus プラグイン ID 122229

Language:

概要

リモートのSUSEホストに1つ以上のセキュリティ更新がありません。

説明

podofo用のこの更新プログラムでは、以下の問題が修正されています:

これらのセキュリティの問題が修正されました:

CVE-2017-6845:PoDoFo::PdfColor::6operator関数により、リモート攻撃者が細工されたファイルを介して、サービス拒否(NULLポインターデリファレンス)を引き起こすことが可能でした(bsc#1027779)。

CVE-2018-5308:PdfMemoryOutputStream::Write関数のmemcpy引数を適切に検証し、リモート攻撃者が細工したpdfファイルを介して、サービス拒否を引き起こしたり、詳細不明な他の影響を与えたりするのを防ぎます(bsc#1075772)。

CVE-2018-5295:PdfXRefStreamParserObjectの整数オーバーフローを阻止します::ParseStream関数により、リモートの攻撃者が、細工されたpdfファイルを介してサービス拒否を引き起こす可能性がありました(bsc#1075026)。

CVE-2017-6845:PoDoFo::PdfColor::6operator関数により、リモート攻撃者が細工されたファイルを介して、サービス拒否(NULLポインターデリファレンス)を引き起こすことが可能でした(bsc#1027779)。

CVE-2018-5309:PdfObjectStreamParserObjectの整数オーバーフローを阻止します::ReadObjectsFromStream関数により、リモートの攻撃者が、細工されたpdfファイルを介してサービス拒否を引き起こす可能性がありました(bsc#1075322)。

CVE-2018-5296:PdfParserにおける制御されないメモリ割り当てを防止します::ReadXRefSubsection関数により、リモートの攻撃者が、細工されたpdfファイルを介してサービス拒否を引き起こす可能性がありました(bsc#1075021)。

CVE-2017-7381:リモート攻撃者が細工したファイルを介して、サービス拒否を引き起こすことが可能だったNULLポインターデリファレンスを防止します(bsc#1032020)。

CVE-2017-7382:リモート攻撃者が細工したファイルを介して、サービス拒否を引き起こすことが可能だったNULLポインターデリファレンスを防止します(bsc#1032021)。

CVE-2017-7383:リモート攻撃者が細工したファイルを介して、サービス拒否を引き起こすことが可能だったNULLポインターデリファレンスを防止します(bsc#1032022)。

CVE-2018-11256:リモート攻撃者が細工したファイルを介して、サービス拒否を引き起こすことが可能だったNULLポインターデリファレンスを防止します(bsc#1096889)。

CVE-2018-5783:PoDoFoにおける制御されないメモリ割り当てを防止します::PdfVecObjects::Reserve関数により、リモートの攻撃者が、細工されたpdfファイルを介してサービス拒否を引き起こす可能性がありました(bsc#1076962)。

更新パッケージには、セキュリティ関連以外の修正も含まれています。詳細については、アドバイザリを参照してください。

注意:Tenable Network Securityは、前述の記述ブロックをSUSEセキュリティアドバイザリから直接抽出しています。Tenableでは、そこに新しい問題を追加することはせずに、できる限り自動的に整理と書式設定をするようにしています。

ソリューション

このSUSEセキュリティ更新プログラムをインストールするには、YaSTのonline_updateや「zypper patch」など、SUSEが推奨するインストール方法を使用してください。

別の方法として、製品にリストされているコマンドを実行することができます:

SUSE Linux Enterprise Workstation Extension 12-SP4:zypper in -t patch SUSE-SLE-WE-12-SP4-2019-393=1

SUSE Linux Enterprise Workstation Extension 12-SP3:zypper in -t patch SUSE-SLE-WE-12-SP3-2019-393=1

SUSE Linux Enterprise Software Development Kit 12-SP4:zypper in -t patch SUSE-SLE-SDK-12-SP4-2019-393=1

SUSE Linux Enterprise Software Development Kit 12-SP3:zypper in -t patch SUSE-SLE-SDK-12-SP3-2019-393=1

SUSE Linux Enterprise Desktop 12-SP4:zypper in -t patch SUSE-SLE-DESKTOP-12-SP4-2019-393=1

SUSE Linux Enterprise Desktop 12-SP3:zypper in -t patch SUSE-SLE-DESKTOP-12-SP3-2019-393=1

参考資料

https://bugzilla.suse.com/show_bug.cgi?id=1027779

https://bugzilla.suse.com/show_bug.cgi?id=1032020

https://bugzilla.suse.com/show_bug.cgi?id=1032021

https://bugzilla.suse.com/show_bug.cgi?id=1032022

https://bugzilla.suse.com/show_bug.cgi?id=1075021

https://bugzilla.suse.com/show_bug.cgi?id=1075026

https://bugzilla.suse.com/show_bug.cgi?id=1075322

https://bugzilla.suse.com/show_bug.cgi?id=1075772

https://bugzilla.suse.com/show_bug.cgi?id=1076962

https://bugzilla.suse.com/show_bug.cgi?id=1096889

https://bugzilla.suse.com/show_bug.cgi?id=1096890

https://www.suse.com/security/cve/CVE-2017-6845/

https://www.suse.com/security/cve/CVE-2017-7381/

https://www.suse.com/security/cve/CVE-2017-7382/

https://www.suse.com/security/cve/CVE-2017-7383/

https://www.suse.com/security/cve/CVE-2017-8054/

https://www.suse.com/security/cve/CVE-2018-11256/

https://www.suse.com/security/cve/CVE-2018-5295/

https://www.suse.com/security/cve/CVE-2018-5296/

https://www.suse.com/security/cve/CVE-2018-5308/

https://www.suse.com/security/cve/CVE-2018-5309/

https://www.suse.com/security/cve/CVE-2018-5783/

http://www.nessus.org/u?9c49bc58

プラグインの詳細

深刻度: High

ID: 122229

ファイル名: suse_SU-2019-0393-1.nasl

バージョン: 1.3

タイプ: local

エージェント: unix

公開日: 2019/2/15

更新日: 2020/2/12

サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: Medium

Base Score: 6.8

Temporal Score: 5

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

CVSS v3

リスクファクター: High

Base Score: 7.8

Temporal Score: 6.8

ベクトル: CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:suse_linux:libpodofo0_9_2, p-cpe:/a:novell:suse_linux:libpodofo0_9_2-debuginfo, p-cpe:/a:novell:suse_linux:podofo-debuginfo, p-cpe:/a:novell:suse_linux:podofo-debugsource, cpe:/o:novell:suse_linux:12

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2019/2/14

脆弱性公開日: 2017/3/15

参照情報

CVE: CVE-2017-6845, CVE-2017-7381, CVE-2017-7382, CVE-2017-7383, CVE-2017-8054, CVE-2018-11256, CVE-2018-5295, CVE-2018-5296, CVE-2018-5308, CVE-2018-5309, CVE-2018-5783