FreeBSD:FreeBSD -- 非デフォルトRACK TCPスタックのリソース枯渇(c294c2e6-b309-11e9-a87f-a4badb2f4699)

high Nessus プラグイン ID 127551

Language:

概要

リモートのFreeBSDホストに、セキュリティ関連の更新プログラムがありません。

説明

確認応答の処理中に、RACKコードはさまざまなリンクリストを使用して状態エントリを維持します。悪意のある攻撃者が、これらのリストを無制限に増大させることができます。これにより、処理中のすべてのパケットで負荷のかかるリストトラバーサルが発生し、リソース枯渇とサービス拒否につながる可能性があります。影響:特別に細工したTCPトラフィックを被害システムに送信できる攻撃者が、比較的少ない帯域幅コストで、非常に大きなRACKリンクリストのトラバースの非効率性を悪用することで、ネットワークパフォーマンスを低下させたり、過剰なCPUを消費したりする可能性があります。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

http://www.nessus.org/u?11e1ff4f

プラグインの詳細

深刻度: High

ID: 127551

ファイル名: freebsd_pkg_c294c2e6b30911e9a87fa4badb2f4699.nasl

バージョン: 1.4

タイプ: local

公開日: 2019/8/12

更新日: 2022/12/7

設定: パラノイドモードの有効化

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.6

CVSS v2

リスクファクター: High

Base Score: 7.8

Temporal Score: 5.8

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C

CVSS v3

リスクファクター: High

Base Score: 7.5

Temporal Score: 6.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:freebsd:freebsd:freebsd, cpe:/o:freebsd:freebsd

必要な KB アイテム: Host/local_checks_enabled, Settings/ParanoidReport, Host/FreeBSD/release, Host/FreeBSD/pkg_info

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2019/7/30

脆弱性公開日: 2019/6/19

参照情報

CVE: CVE-2019-5599

FreeBSD: SA-19:08.rack