検出

Ubuntu 18.04 LTS:util-linuxの脆弱性(USN-4512-1)

high Nessus プラグイン ID 140648

Language:

概要

リモートUbuntuホストにセキュリティ更新がありません。

説明

リモートのUbuntu 18.04 LTSホストには、USN-4512-1のアドバイザリに記載された脆弱性の影響を受けるパッケージがインストールされています。

 - 2.32-rc1より前のutil-linuxでは、bash-completion/umountにより、ローカルユーザーが、マウントポイント名にシェルコマンドを埋め込むことで権限を取得できます。これは、別のユーザーによるumountコマンド(Bash内)中に誤って処理され、ルートとしてログインしてからumountの後にオートコンプリート用のタブ文字を入力することによって実証されます。(CVE-2018-7738)

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://ubuntu.com/security/notices/USN-4512-1

プラグインの詳細

深刻度: High

ID: 140648

ファイル名: ubuntu_USN-4512-1.nasl

バージョン: 1.4

タイプ: local

エージェント: unix

公開日: 2020/9/17

更新日: 2023/10/21

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: High

基本値: 7.2

現状値: 5.3

ベクトル: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2018-7738

CVSS v3

リスクファクター: High

基本値: 7.8

現状値: 6.8

ベクトル: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/o:canonical:ubuntu_linux:18.04:-:lts, p-cpe:/a:canonical:ubuntu_linux:bsdutils, p-cpe:/a:canonical:ubuntu_linux:fdisk, p-cpe:/a:canonical:ubuntu_linux:fdisk-udeb, p-cpe:/a:canonical:ubuntu_linux:libblkid-dev, p-cpe:/a:canonical:ubuntu_linux:libblkid1, p-cpe:/a:canonical:ubuntu_linux:libblkid1-udeb, p-cpe:/a:canonical:ubuntu_linux:libfdisk-dev, p-cpe:/a:canonical:ubuntu_linux:libfdisk1, p-cpe:/a:canonical:ubuntu_linux:libfdisk1-udeb, p-cpe:/a:canonical:ubuntu_linux:libmount-dev, p-cpe:/a:canonical:ubuntu_linux:libmount1, p-cpe:/a:canonical:ubuntu_linux:libmount1-udeb, p-cpe:/a:canonical:ubuntu_linux:libsmartcols-dev, p-cpe:/a:canonical:ubuntu_linux:libsmartcols1, p-cpe:/a:canonical:ubuntu_linux:libsmartcols1-udeb, p-cpe:/a:canonical:ubuntu_linux:libuuid1, p-cpe:/a:canonical:ubuntu_linux:libuuid1-udeb, p-cpe:/a:canonical:ubuntu_linux:mount, p-cpe:/a:canonical:ubuntu_linux:rfkill, p-cpe:/a:canonical:ubuntu_linux:setpriv, p-cpe:/a:canonical:ubuntu_linux:util-linux, p-cpe:/a:canonical:ubuntu_linux:util-linux-locales, p-cpe:/a:canonical:ubuntu_linux:util-linux-udeb, p-cpe:/a:canonical:ubuntu_linux:uuid-dev, p-cpe:/a:canonical:ubuntu_linux:uuid-runtime

必要な KB アイテム: Host/cpu, Host/Debian/dpkg-l, Host/Ubuntu, Host/Ubuntu/release

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2020/9/17

脆弱性公開日: 2018/3/7

参照情報

CVE: CVE-2018-7738

BID: 103367

USN: 4512-1