OracleVM 3.4:curl(OVMSA-2020-0035)

critical Nessus プラグイン ID 140168

概要

リモートのOracleVMホストに1つ以上のセキュリティ更新プログラムがありません。

説明

リモートOracleVMシステムに、重大なセキュリティ更新に対処するために必要なパッチが、欠落しています:

-TFTPの小さなブロックサイズのヒープバッファオーバーフローを修正

462

- セキュリティ修正 [OraBug: 28939992]

- CVE-2016-8615 他のサーバーのCookieのインジェクション

- CVE-2016-8616 大文字と小文字を区別しないパスワードの比較

- CVE-2016-8617 未確認の乗算を介したOOB書き込み

- CVE-2016-8618 curl_maprintfの二重解放

- CVE-2016-8619 krb5コードの二重解放

- CVE-2016-8621 curl_getdateの領域外読み取り

- CVE-2016-8623 共有Cookieを介したメモリ解放後使用

- CVE-2016-8624 #を使用した無効なURL解析

-libcurlのPK11_CreateManagedGenericObjectを使用してメモリリークを防ぎます

-重複したWWW-Authenticateヘッダーによる認証失敗を修正します(#1757643)

ソリューション

影響を受ける curl / libcurl パッケージを更新してください。

参考資料

https://curl.haxx.se/docs/CVE-2016-8615.html

https://curl.haxx.se/docs/CVE-2016-8616.html

https://curl.haxx.se/docs/CVE-2016-8617.html

https://curl.haxx.se/docs/CVE-2016-8618.html

https://curl.haxx.se/docs/CVE-2016-8619.html

https://curl.haxx.se/docs/CVE-2016-8621.html

https://curl.haxx.se/docs/CVE-2016-8623.html

https://curl.haxx.se/docs/CVE-2016-8624.html

http://www.nessus.org/u?f4c2cdb6

プラグインの詳細

深刻度: Critical

ID: 140168

ファイル名: oraclevm_OVMSA-2020-0035.nasl

バージョン: 1.3

タイプ: local

公開日: 2020/9/2

更新日: 2024/2/22

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: High

Base Score: 7.5

Temporal Score: 5.5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2019-5482

CVSS v3

リスクファクター: Critical

Base Score: 9.8

Temporal Score: 8.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:oracle:vm:curl, p-cpe:/a:oracle:vm:libcurl, cpe:/o:oracle:vm_server:3.4

必要な KB アイテム: Host/local_checks_enabled, Host/OracleVM/release, Host/OracleVM/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2020/9/1

脆弱性公開日: 2018/7/31

参照情報

CVE: CVE-2016-8615, CVE-2016-8616, CVE-2016-8617, CVE-2016-8618, CVE-2016-8619, CVE-2016-8621, CVE-2016-8623, CVE-2016-8624, CVE-2019-5482