検出

openSUSEセキュリティ更新プログラム:hylafax+(openSUSE-2020-1210)

high Nessus プラグイン ID 139653

Language:

概要

リモートのopenSUSEホストに、セキュリティ更新プログラムがありません。

説明

このhylafax+用の更新プログラムでは、次の問題が修正されています:

HylafaxがUpstreamバージョン7.0.3に更新されました。

キャッシュサイドチャネル攻撃の軽減:

 - CVE-2020-15396:faxsetup、faxaddmodem、probemodem用の安全な一時ディレクトリの作成(boo#1173521)。

 - CVE-2020-15397:ユーザーが書き込み可能なディレクトリからのバイナリへのファイルのソーシング(boo#1173519)。

セキュリティ以外の修正された問題:

 - sendfax、sendfax.conf、hyla.conf、JobControlにUseSSLFax機能を追加します(2020年7月31日)

 - フェーズCキャリアをリッスンする際のレジリエンスを強化します(2020年7月30日)

 - HDLC受信がタイムアウトした場合、必ずコマンドモードに戻ります(2020年7月29日)

 - faxmailにマルチパート以外の部分の境界を無視させます(2020年7月29日)

 - ゼロバイトのデータをTIFFに書き込みません(2020年7月29日)

 - CRPでCRPに応答しません(2020年7月28日)

 - 送信者が以前に確認されたECMブロックのPPSを再送信する際にフレームカウンターをリセットします(2020年7月26日)

 - 送信者がMCFを逃したと結論付ける前に、PPMを詳細に調査します(2020年7月23日)

 - SSL Fax失敗後のモデム回復を修正します(2020年7月22日、26日)

 - PPR、RTN、CRPのエコーを無視します(2020年7月10日、13日、21日)

 - フェーズDを送信するクラス1でNSF/CSI/DISの処理を試行します(2020年7月6日)

 - セキュリティ強化のためにシェルを介してスクリプトを呼び出すのではなく、スクリプトを直接実行します(2020年7月3~5日)

 - senderFumblesECM機能を追加します(2020年7月3日)

 - PIN/PIP/PRI-Q/PPS-PRI-Q信号のサポートを追加し、senderConfusesPIN機能を追加し、役立つ可能性があるまれな状況でPINを利用します(2020年7月2日、6日、13~14日)

 - senderConfusesRTN機能を追加します(2020年6月25~26日)

 - MissedPageHandling機能を追加します(2020年6月24日)

 - フェーズDでCFRを使用および処理して、フェーズCを再送信します(2020年6月16日、23日)

 - クラス1送信中に、RR、CTCのエコーの受信に対応します(2020年6月15~17日)

 - 最初の試行での受信時に破損していた場合に、MPS/EOP/EOMの再送信のリッスンを修正します(2020年6月15日)

 - 一部の送信者はMCFが送信されると考えているため、PPS/PPMの受信時にCRPを使用しません(2020年6月12日)

 - BR_SSLFAXを追加して、notifyおよびfaxinfo出力でSSL Faxを表示します(2020年6月1日)

 - faxinfoに非標準ページ寸法でユニットを配置させます(2020年5月28日)

 - JobHost接続エラーのエラーメッセージを改善します(2020年5月22日)

 - ジョブ準備が失敗した場合のジョブの永続的なブロックを修正し、バッチの不良ジョブにおける同様のブロックの問題の修正を試み、「unblock」faxconfig機能を追加します(2020年5月21日)

 - SSL Faxを受信している場合はTCFを無視します(2020年1月31日)

 - FreeBSD 12.1でのビルドに対する修正(2020年1月31日~2月3日)

ソリューション

影響を受けるhylafax+パッケージを更新してください。

参考資料

https://bugzilla.opensuse.org/show_bug.cgi?id=1173519

https://bugzilla.opensuse.org/show_bug.cgi?id=1173521

プラグインの詳細

深刻度: High

ID: 139653

ファイル名: openSUSE-2020-1210.nasl

バージョン: 1.3

タイプ: local

エージェント: unix

公開日: 2020/8/18

更新日: 2024/2/26

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: High

基本値: 7.2

現状値: 5.6

ベクトル: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2020-15397

CVSS v3

リスクファクター: High

基本値: 7.8

現状値: 7

ベクトル: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:hylafax%2b, p-cpe:/a:novell:opensuse:hylafax%2b-client, p-cpe:/a:novell:opensuse:hylafax%2b-client-debuginfo, p-cpe:/a:novell:opensuse:hylafax%2b-debuginfo, p-cpe:/a:novell:opensuse:hylafax%2b-debugsource, p-cpe:/a:novell:opensuse:libfaxutil7_0_3, p-cpe:/a:novell:opensuse:libfaxutil7_0_3-debuginfo, cpe:/o:novell:opensuse:15.1

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2020/8/14

脆弱性公開日: 2020/6/30

参照情報

CVE: CVE-2020-15396, CVE-2020-15397