DebianDLA-1912-1: Expatのセキュリティ更新プログラム

high Nessus プラグイン ID 128557

Language:

概要

リモートのDebianホストにセキュリティ更新プログラムがありません。

説明

XML解析ライブラリであるexpatに、ヒープベースのバッファオーバーリードが存在することが判明しました:

特別に細工されたXML入力により、パーサーが誘導されて早い段階でDTD解析からドキュメント解析へ変更する可能性がありました。その後、XML_GetCurrentLineNumber（またはXML_GetCurrentColumnNumber）を連続して呼び出すと、ヒープベースのバッファオーバーリードが引き起こされました。

Debian 8「Jessie」では、この問題はバージョン2.1.0-6+deb8u6で修正されました。

お使いのexpatパッケージをアップグレードすることを推奨します。

注: Tenable Network Securityは、前述の記述ブロックをDLAセキュリティアドバイザリから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

ソリューション

影響を受けるパッケージをアップグレードしてください。

参考資料

https://lists.debian.org/debian-lts-announce/2019/09/msg00005.html

https://packages.debian.org/source/jessie/expat

プラグインの詳細

深刻度: High

ID: 128557

ファイル名: debian_DLA-1912.nasl

バージョン: 1.3

タイプ: local

エージェント: unix

ファミリー: Debian Local Security Checks

公開日: 2019/9/9

更新日: 2021/1/11

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

脆弱性情報

CPE: p-cpe:/a:debian:debian_linux:libexpat1-udeb, p-cpe:/a:debian:debian_linux:expat, p-cpe:/a:debian:debian_linux:lib64expat1, p-cpe:/a:debian:debian_linux:lib64expat1-dev, p-cpe:/a:debian:debian_linux:libexpat1, p-cpe:/a:debian:debian_linux:libexpat1-dev, cpe:/o:debian:debian_linux:8.0

必要な KB アイテム: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

パッチ公開日: 2019/9/6

脆弱性公開日: 2019/9/6