SUSE SLED12 / SLES12セキュリティ更新プログラム:binutils(SUSE-SU-2019:2650-1)
high Nessus プラグイン ID 129879
言語:
概要
リモートのSUSEホストに1つ以上のセキュリティ更新がありません。説明
このbinutilsの更新では、次の問題を修正します:branchilsが最新の2.32分岐@7b468db3に更新されました[jsc#ECO-368]:
以下のセキュリティ問題の修正が含まれています:
CVE-2018-17358:syms.cの_bfd_stab_section_find_nearest_lineでの
無効なメモリアクセスを修正しました(bsc#1109412)
CVE-2018-17359:opncls.cのbfd_zallocに存在する無効なメモリアクセスを修正しました(bsc#1109413)
CVE-2018-17360:libbfd.cのbfd_getl32でのヒープベースのバッファオーバーリードを修正しました(bsc#1109414)
CVE-2018-17985:cplus_demangle_typeによって引き起こされるスタック消費の問題を修正しました(bsc#1116827)
CVE-2018-18309:reloc.cのread_relocで発見された無効なメモリアドレス逆参照を修正しました(bsc#1111996)
CVE-2018-18483:libibertyが提供するget_count関数を修正しました。この関数により、攻撃者がサービス拒否またはその他の詳細不明な影響を引き起こすことが可能でした(bsc#1112535)
CVE-2018-18484:再帰スタックフレームによって引き起こされる、libibertyが提供するC ++デマングル関数でのスタック枯渇を修正しました(bsc#1112534)。
CVE-2018-18605:sec_merge_hash_lookupで発見された、サービス拒否を引き起こすヒープベースのバッファオーバーリードの問題を修正しました(bsc#1113255)
CVE-2018-18606:アラインメントの大きいセクションをマージしようとするとbfd_add_merge_sectionで発生し、
サービス拒否を引き起こすNULLポインターデリファレンスを修正しました。(bsc#1113252)。
CVE-2018-18607:TLSセクションなしでSTT_TLSシンボルを検索するために使用されるとelf_link_input_bfdで発生し、サービス拒否を引き起こすNULLポインターデリファレンスを修正しました(bsc#1113247)。
CVE-2018-19931:elfcode.hのbfd_elf32_swap_phdr_inでのヒープベースのバッファオーバーフローを修正しました(bsc#1118831)
CVE-2018-19932:IS_CONTAINED_BY_LMAマクロにより引き起こされる整数オーバーフローと無限ループを守勢しました。(bsc#1118830)
CVE-2018-20623:elfcomm.cのerror関数でのメモリ解放後使用(Use After Free)を修正しました(bsc#1121035)
CVE-2018-20651:elflink.cのelf_link_add_object_symbolsでのNULLポインターデリファレンスによるサービス拒否を修正しました(bsc#1121034)
CVE-2018-20671:objdump.cのload_specific_debug_sectionでヒープベースのバッファオーバーフローを引き起こす可能性のある整数オーバーフローを修正しました(bsc#1121056)
CVE-2018-1000876:objdumpのbfd_get_dynamic_reloc_upper_bound、bfd_canonicalize_dynamic_relocでの整数オーバーフローを修正しました(bsc#1120640)
CVE-2019-1010180:クラッシュを引き起こす可能性のある領域外メモリアクセスを修正しました(bsc#1142772)
xtensaアーキテクチャを有効にします(Tensilica lc6および関連)
静的ライブラリのアセンブリを提供するために-ffat-lto-objectsを使用します(bsc#1141913)。
いくつかのLTOの問題を修正しました(bsc#1133131 bsc#1133232)。
riscv:コードセクションがない場合はABIフラグをチェックしません
binutils 2.32への更新:binutilsがC-SKYプロセッサーシリーズをサポートするようになりました。
x86アセンブラーは、VEX.W-ignored (WIG) VEX命令のエンコーディングをコントロールするために-mvexwig=[0|1]オプションをサポートするようになりました。また、
x86 GNUプロパティノートを生成するかどうかを指定する新しい-mx86-used-note = [yes | no]オプションもあります。
MIPSアセンブラーは、Loongson EXTensions R2(EXT2)、Loongson EXTensions(EXT)命令、Loongson Content Address Memory(CAM)ASE、およびLoongson MultiMedia拡張命令(MMI)ASEをサポートするようになりました。
addr2line、c++filt、nm、およびobjdumpの各ツールに、文字列のデマングル中に許容される再帰の最大数のデフォルト制限が導入されました。この制限は必要に応じて無効にできます。
Objdumpの--disassembleオプションが、逆アセンブリの開始記号を指定するパラメーターを得ることができるようになりました。逆アセンブリはこの記号から次の記号または関数の終わりまで継続されます。
GNUプロパティをマージするときに、BFDリンカーがリンカーマップファイルのプロパティの変更を報告するようになりました。
BFDリンカーの-tオプションが2回指定されていない場合、アーカイブ内のメンバーは報告されません。これにより、リンカーバグレポートのためにパッケージ化する必要があるファイルのリストを生成する場合に、このオプションがより有用になります。
GOLDリンカーでは、破棄されたセクションを参照する再配置の警告メッセージが改善されました。
s390でのrelroサポートを改善します[fate#326356]
ELF圧縮ヘッダーの配置を適切に処理します。
注意:Tenable Network Securityは、前述の記述ブロックをSUSEセキュリティアドバイザリから直接抽出しています。Tenableでは、そこに新しい問題を追加することはせずに、できる限り自動的に整理と書式設定をするようにしています。
ソリューション
このSUSEセキュリティ更新プログラムをインストールするには、YaSTのonline_updateや「zypper patch」など、SUSEが推奨するインストール方法を使用してください。別の方法として、製品にリストされているコマンドを実行することができます:
SUSE OpenStack Cloud Crowbar 8:zypper in -t patch SUSE-OpenStack-Cloud-Crowbar-8-2019-2650=1
SUSE OpenStack Cloud 8:zypper in -t patch SUSE-OpenStack-Cloud-8-2019-2650=1
SUSE OpenStack Cloud 7:zypper in -t patch SUSE-OpenStack-Cloud-7-2019-2650=1
SUSE Linux Enterprise Software Development Kit 12-SP5:zypper in -t patch SUSE-SLE-SDK-12-SP5-2019-2650=1
SUSE Linux Enterpriseソフトウェア開発キット12-SP4:zypper in -t patch SUSE-SLE-SDK-12-SP4-2019-2650=1
SUSE Linux Enterprise Server for SAP 12-SP3:zypper in -t patch SUSE-SLE-SAP-12-SP3-2019-2650=1
SUSE Linux Enterprise Server for SAP 12-SP2:zypper in -t patch SUSE-SLE-SAP-12-SP2-2019-2650=1
SUSE Linux Enterprise Server for SAP 12-SP1:zypper in -t patch SUSE-SLE-SAP-12-SP1-2019-2650=1
SUSE Linux Enterprise Server 12-SP5:zypper in -t patch SUSE-SLE-SERVER-12-SP5-2019-2650=1
SUSE Linux Enterprise Server 12-SP4:zypper in -t patch SUSE-SLE-SERVER-12-SP4-2019-2650=1
SUSE Linux Enterprise Server 12-SP3-LTSS:zypper in -t patch SUSE-SLE-SERVER-12-SP3-2019-2650=1
SUSE Linux Enterprise Server 12-SP3-BCL:zypper in -t patch SUSE-SLE-SERVER-12-SP3-BCL-2019-2650=1
SUSE Linux Enterprise Server 12-SP2-LTSS:zypper in -t patch SUSE-SLE-SERVER-12-SP2-2019-2650=1
SUSE Linux Enterprise Server 12-SP2-BCL:zypper in -t patch SUSE-SLE-SERVER-12-SP2-BCL-2019-2650=1
SUSE Linux Enterprise Server 12-SP1-LTSS:zypper in -t patch SUSE-SLE-SERVER-12-SP1-2019-2650=1
SUSE Linux Enterprise Desktop 12-SP5:zypper in -t patch SUSE-SLE-DESKTOP-12-SP5-2019-2650=1
SUSE Linux Enterprise Desktop 12-SP4:zypper in -t patch SUSE-SLE-DESKTOP-12-SP4-2019-2650=1
SUSE Enterprise Storage 5:zypper in -t patch SUSE-Storage-5-2019-2650=1
SUSE Enterprise Storage 4:zypper in -t patch SUSE-Storage-4-2019-2650=1
HPE Helion Openstack 8:zypper in -t patch HPE-Helion-OpenStack-8-2019-2650=1
関連情報
https://bugzilla.suse.com/show_bug.cgi?id=1109412
https://bugzilla.suse.com/show_bug.cgi?id=1109413
https://bugzilla.suse.com/show_bug.cgi?id=1109414
https://bugzilla.suse.com/show_bug.cgi?id=1111996
https://bugzilla.suse.com/show_bug.cgi?id=1112534
https://bugzilla.suse.com/show_bug.cgi?id=1112535
https://bugzilla.suse.com/show_bug.cgi?id=1113247
https://bugzilla.suse.com/show_bug.cgi?id=1113252
https://bugzilla.suse.com/show_bug.cgi?id=1113255
https://bugzilla.suse.com/show_bug.cgi?id=1116827
https://bugzilla.suse.com/show_bug.cgi?id=1118830
https://bugzilla.suse.com/show_bug.cgi?id=1118831
https://bugzilla.suse.com/show_bug.cgi?id=1120640
https://bugzilla.suse.com/show_bug.cgi?id=1121034
https://bugzilla.suse.com/show_bug.cgi?id=1121035
https://bugzilla.suse.com/show_bug.cgi?id=1121056
https://bugzilla.suse.com/show_bug.cgi?id=1133131
https://bugzilla.suse.com/show_bug.cgi?id=1133232
https://bugzilla.suse.com/show_bug.cgi?id=1141913
https://bugzilla.suse.com/show_bug.cgi?id=1142772
https://www.suse.com/security/cve/CVE-2018-1000876/
https://www.suse.com/security/cve/CVE-2018-17358/
https://www.suse.com/security/cve/CVE-2018-17359/
https://www.suse.com/security/cve/CVE-2018-17360/
https://www.suse.com/security/cve/CVE-2018-17985/
https://www.suse.com/security/cve/CVE-2018-18309/
https://www.suse.com/security/cve/CVE-2018-18483/
https://www.suse.com/security/cve/CVE-2018-18484/
https://www.suse.com/security/cve/CVE-2018-18605/
https://www.suse.com/security/cve/CVE-2018-18606/
https://www.suse.com/security/cve/CVE-2018-18607/
https://www.suse.com/security/cve/CVE-2018-19931/
https://www.suse.com/security/cve/CVE-2018-19932/
https://www.suse.com/security/cve/CVE-2018-20623/
https://www.suse.com/security/cve/CVE-2018-20651/
https://www.suse.com/security/cve/CVE-2018-20671/
プラグインの詳細
深刻度: High
ID: 129879
ファイル名: suse_SU-2019-2650-1.nasl
バージョン: 1.3
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2019/10/15
更新日: 2021/1/13
サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: Medium
Base Score: 6.8
Temporal Score: 5
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
現状ベクトル: CVSS2#E:U/RL:OF/RC:C
CVSS スコアのソース: CVE-2019-1010180
CVSS v3
リスクファクター: High
Base Score: 7.8
Temporal Score: 6.8
ベクトル: CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:novell:suse_linux:binutils, p-cpe:/a:novell:suse_linux:binutils-debuginfo, p-cpe:/a:novell:suse_linux:binutils-debugsource, p-cpe:/a:novell:suse_linux:binutils-devel, cpe:/o:novell:suse_linux:12
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2019/10/14
脆弱性公開日: 2018/9/23
参照情報
CVE: CVE-2018-1000876, CVE-2018-17358, CVE-2018-17359, CVE-2018-17360, CVE-2018-17985, CVE-2018-18309, CVE-2018-18483, CVE-2018-18484, CVE-2018-18605, CVE-2018-18606, CVE-2018-18607, CVE-2018-19931, CVE-2018-19932, CVE-2018-20623, CVE-2018-20651, CVE-2018-20671, CVE-2019-1010180