Amazon Linux 2:dhcp (ALAS-2019-1346)
high Nessus プラグイン ID 130599
Language:
概要
リモートのAmazon Linux 2ホストに、セキュリティ更新プログラムがありません。説明
ISC BINDライブラリの1つで、DHCPv6モードで動作しているときにdhcpdが使用していた関数にバグがありました。ドキュメントに記載されているように、dhcpdにはこの関数の使用に関連するバグもありましたが、ライブラリ関数のバグによって、問題が生じることはありませんでした。ISCからのdhcpdのすべてのリリースには、このコピーと、リリース前にテストされ、このような問題を示さないことが知られている他のBINDライブラリの組み合わせが含まれています。ISCソフトウェアの一部のサードパーティパッケージャーは、dhcpdソース、BINDソース、バージョン構成を変更したため、クラッシュが発生する可能性がありました。ISCが入手できるレポートによると、クラッシュの発生する確率は高く、攻撃者がこれを悪用する可能性や悪用する場合の方法についての分析は行われていません。影響を受ける対象:BINDバージョン9.11.2以降を使用するときのバージョン4.4.1より前のdhcpdのビルド、または特定のバグ修正がバックポートされたBINDバージョン。ISCは、脆弱性があるすべてのdhcpd再パッケージの包括的なバージョンのリストにアクセスできません。特に、他のベンダーのビルドも影響を受ける可能性があります。オペレーターは、ベンダーのドキュメントを参照してください。(CVE-2019-6470)
ソリューション
「yum update dhcp」を実行してシステムを更新してください。参考資料
プラグインの詳細
深刻度: High
ID: 130599
ファイル名: al2_ALAS-2019-1346.nasl
バージョン: 1.7
タイプ: local
エージェント: unix
公開日: 2019/11/7
更新日: 2024/4/15
サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 4.4
CVSS v2
リスクファクター: Medium
基本値: 5
現状値: 3.9
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P
CVSS スコアのソース: CVE-2019-6470
CVSS v3
リスクファクター: High
基本値: 7.5
現状値: 6.7
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:amazon:linux:dhclient, p-cpe:/a:amazon:linux:dhcp, p-cpe:/a:amazon:linux:dhcp-common, p-cpe:/a:amazon:linux:dhcp-debuginfo, p-cpe:/a:amazon:linux:dhcp-devel, p-cpe:/a:amazon:linux:dhcp-libs, cpe:/o:amazon:linux:2
必要な KB アイテム: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2019/11/4
脆弱性公開日: 2019/11/1
参照情報
CVE: CVE-2019-6470
ALAS: 2019-1346
IAVB: 2020-B-0036-S