検出

FreeBSD: ksh93 -- 起動時に算術式として解釈される特定の環境変数が、コードインジェクションにつながります(8b20d716-49df-11ea-9f7b-206a8a720317)

high Nessus プラグイン ID 133588

Language:

概要

リモートのFreeBSDホストに1つ以上のセキュリティ関連の更新プログラムがありません。

説明

Siteshwar Vashisht氏(Upstream ksh93メンテナンス者)による報告:

kshが特定の環境変数を評価する方法で、欠陥が見つかりました。攻撃者がこの欠陥を利用して、環境制限をオーバーライドまたはバイパスし、シェルコマンドを実行する可能性があります。リモートの認証されていない攻撃者がこれらの環境変数のいずれかを提供できるサービスおよびアプリケーションにより、この問題をリモートで悪用できる可能性があります。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://bugzilla.redhat.com/show_bug.cgi?id=1757324

https://access.redhat.com/security/cve/CVE-2019-14868

https://access.redhat.com/errata/RHSA-2020:0431

http://www.nessus.org/u?a3d085cb

プラグインの詳細

深刻度: High

ID: 133588

ファイル名: freebsd_pkg_8b20d71649df11ea9f7b206a8a720317.nasl

バージョン: 1.2

タイプ: local

公開日: 2020/2/10

更新日: 2020/2/24

サポートされているセンサー: Nessus

脆弱性情報

CPE: p-cpe:/a:freebsd:freebsd:ksh93, p-cpe:/a:freebsd:freebsd:ksh93-devel, cpe:/o:freebsd:freebsd

必要な KB アイテム: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

パッチ公開日: 2020/2/7

脆弱性公開日: 2019/10/1