openSUSEセキュリティ更新プログラム:libsass(openSUSE-2019-1791)
critical Nessus プラグイン ID 126975
Language:
概要
リモートのopenSUSEホストに、セキュリティ更新プログラムがありません。説明
このlibsassのバージョン3.6.1への更新では、次の問題が修正されます:キャッシュサイドチャネル攻撃の軽減:
- CVE-2019-6283:Sassでヒープバッファオーバーフローを修正しました:: Prelexer:: parenthese_scope(char const*)(boo#1121943)。
- CVE-2019-6284:Sassに存在するヒープベースのバッファオーバーリードを修正しました:Prelexer:alternatives(boo#1121944)。
- CVE-2019-6286:Sassに存在するヒープベースのバッファオーバーリードを修正しました:Prelexer:skip_over_scopes(boo#1121945)。
- CVE-2018-11499:sass_context.cppにおけるメモリ解放後使用(Use After Free)の脆弱性を修正しました:handle_error(boo#1096894)。
- CVE-2018-19797:selector_fns引数の親セレクターを許可しませんでした(boo#1118301)。
- CVE-2018-19827:SharedPtrクラスに存在するメモリ解放後使用(Use After Free)の脆弱性を修正しました(boo#1118346)。
- CVE-2018-19837:Evalのスタックオーバーフローを修正しました:: operator()(boo#1118348)。
- CVE-2018-19838:IMPLEMENT_AST_OPERATORS拡張でのスタックオーバーフローを修正しました(boo#1118349)。
- CVE-2018-19839:一部の無効な入力に対するバッファオーバーフロー(OOB読み取り)を修正しました(boo#1118351)。
- CVE-2018-20190:SassのNULLポインターデリファレンスを修正しました:: Eval:: operator()(Sass:: Supports_Operator *)(boo#1119789)。
- CVE-2018-20821:Sassの制御されない再帰を修正しました:Parser:parse_css_variable_value(boo#1133200)。
- CVE-2018-20822:Sassでのスタックオーバーフローを修正しました:: Inspect:: operator()(boo#1133201)。
ソリューション
影響を受けるlibsassパッケージを更新してください。参考資料
https://bugzilla.opensuse.org/show_bug.cgi?id=1096894
https://bugzilla.opensuse.org/show_bug.cgi?id=1118301
https://bugzilla.opensuse.org/show_bug.cgi?id=1118346
https://bugzilla.opensuse.org/show_bug.cgi?id=1118348
https://bugzilla.opensuse.org/show_bug.cgi?id=1118349
https://bugzilla.opensuse.org/show_bug.cgi?id=1118351
https://bugzilla.opensuse.org/show_bug.cgi?id=1119789
https://bugzilla.opensuse.org/show_bug.cgi?id=1121943
https://bugzilla.opensuse.org/show_bug.cgi?id=1121944
https://bugzilla.opensuse.org/show_bug.cgi?id=1121945
プラグインの詳細
深刻度: Critical
ID: 126975
ファイル名: openSUSE-2019-1791.nasl
バージョン: 1.4
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2019/7/24
更新日: 2024/5/8
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: High
基本値: 7.5
現状値: 5.9
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS スコアのソース: CVE-2018-11499
CVSS v3
リスクファクター: Critical
基本値: 9.8
現状値: 8.8
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:novell:opensuse:libsass-3_6_1-1, p-cpe:/a:novell:opensuse:libsass-3_6_1-1-debuginfo, p-cpe:/a:novell:opensuse:libsass-debugsource, p-cpe:/a:novell:opensuse:libsass-devel, cpe:/o:novell:opensuse:15.1
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2019/7/23
脆弱性公開日: 2018/5/26
参照情報
CVE: CVE-2018-11499, CVE-2018-19797, CVE-2018-19827, CVE-2018-19837, CVE-2018-19838, CVE-2018-19839, CVE-2018-20190, CVE-2018-20821, CVE-2018-20822, CVE-2019-6283, CVE-2019-6284, CVE-2019-6286