openSUSEセキュリティ更新プログラム:blosc(openSUSE-2020-2337)
high Nessus プラグイン ID 145345
Language:
概要
リモートのopenSUSEホストに、セキュリティ更新プログラムがありません。説明
このblosc用の更新プログラムでは、次の問題が修正されています:バージョン1.20.1 boo#1179914 CVE-2020-29367への更新:
- より多くの安全チェックが実装され、OSS-Fuzzerの新しいfuzzerによって検出された潜在的な欠陥が修正されました
- BloscLZが2.3.0に更新されました。より高速なコーデックのために圧縮率が向上することが期待されます。詳細については、新しいブログの投稿を参照してください: https://blosc.org/posts/beast-release/
- _xgetbv()の競合を修正しました。Michał氏に感謝の意を表します
Górny(@mgorny)氏。
次のバージョンへの更新: 1.19.0:
- 高速コーデック(lz4、blosclz)用の自動ブロックサイズの長さが、圧縮率向上のために大幅に増加(最大256 KB)しました。
- 最新のCPU(L2キャッシュに少なくとも256 KBを搭載)のパフォーマンスも向上させる必要があります(古いCPUでも、パフォーマンスはほぼ同じである必要があります)。
- 圧縮できない小さなバッファ(通常128バイト未満)に対して、blosc_compress()は負の数(内部エラー)の代わりに0(圧縮不可)を返すようになりました。
詳細については、#294.
- blosclzコーデックが2.1.0に更新されました。より多様なシナリオで、圧縮率とパフォーマンスが向上することが期待されます。
- blosc_decompress_unsafe()、blosc_decompress_ctx_unsafe()、およびblosc_getitem_unsafe()は危険であるため削除されました。最新の改善後は、これらを実稼働で使用しないでください。
バージョン 1.18.1 に更新してください:
- サイズがtypesizeの倍数でない場合のチャンクの残りのコピーを修正しました。
バージョン 1.17.1 に更新してください:
- BloscLZコーデックが2.0.0に更新されました。
バージョン 1.16.3 に更新してください:
- -march=haswellを使用したclangのビルドを修正します。PR #262を参照してください。
- GCC/Clangに対するすべての既知の警告を修正します。この領域では、MSVCに対してまだやるべき作業があります。
- 複数のCIシステムにおける一部の問題により、ライブラリシンボルのチェックがデフォルトで無効化されました。このチェックを強制する場合は、cmake ..
-DDEACTIVATE_SYMBOLS_CHECK=ONを使用してこれを再度有効化します。
- バッファがmemcpyされる場合の圧縮サイズのチェックを修正します。これは、1.16.0で導入されたリグレッションでした。#261 の修正。
- 空のバッファの圧縮を妨げる1.16.0のリグレッションを修正しました(#260を参照)。
- Bloscの解凍を実行する関数は、信頼できない/破損している可能性のある入力に対して、現在はデフォルトで安全です。
- 以前の(安全性の低い)機能チェックは、「_unsafe」サフィックス付きで引き続き利用可能です。完全なリストは、次のとおりです:
- また、Blosc圧縮データを検証するためのblosc_cbuffer_validate()という名前の新しいAPI関数が追加されました。
- 詳細については、PR #258を参照してください。Jeremy Maitin-Shepard氏に感謝の意を表します。
- 状況によってはスレッドデッドロックを引き起こす可能性のあるblosc_compress()のバグを修正しました。詳細については、#251. 報告と修正を提供してくれた@wenjunoに感謝の意を表します。
- shuffl.c host_implementation初期化のデータ競合を修正します。#253 の修正。Jeremy Maitin-Shepard氏に感謝の意を表します。
- Visual Studio 2008にstdint.hファイルがない場合の回避策をblosclz.cに追加します。
- 非常に古いgccコンパイラとの互換性のために、//-commentsを/**/-commentsに置き換え、その他の改善を行いました。PR #243を参照してください。Andreas Martin氏に感謝の意を表します。
- 空のバッファは再び圧縮できます(これは#234の修正中に意図せず防止されていました )。詳細については、#247.
Valentin Haenel氏に感謝の意を表します。
バージョン 1.14.4 に更新してください:
- cmakeに新しいDEACTIVATE_SSE2オプションを追加しました。これは、クロスコンパイルを行う際にSSE2を無効にするのに役立ちます(#236を参照)。
- BLOSC_MAX_OVERHEADより小さい出力バッファを検出するための新しいチェック。
- blosc_get_complib_info()のcomplibおよびバージョンのパラメーターを、NULLに安全に設定できるようになりました。
これにより、ユーザーがこれらのパラメーターに興味がない場合でも、この関数を呼び出すことができます(したがって、そのためにメモリを予約する必要がありません)。
- bloscチャンクがblosc_decompress()に渡されると想定される状況において、算術例外が発生する可能性があります。これはおそらく、チャンクが実際のbloscチャンクではないためであり、ゼロ除算が発生する可能性があります。これに対して保護が追加されました。
バージョン 1.14.3 に更新してください:
- 厳格なアライメントが必要なプラットフォームでC-Bloscがクラッシュするバグを修正しました。
- C89に準拠していないコードを修正しました。
ソリューション
影響を受けるbloscパッケージを更新してください。参考資料
https://blosc.org/posts/beast-release/
プラグインの詳細
深刻度: High
ID: 145345
ファイル名: openSUSE-2020-2337.nasl
バージョン: 1.3
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2021/1/25
更新日: 2024/1/26
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: High
基本値: 9.3
現状値: 6.9
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C
CVSS スコアのソース: CVE-2020-29367
CVSS v3
リスクファクター: High
基本値: 7.8
現状値: 6.8
ベクトル: CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: cpe:/o:novell:opensuse:15.1, cpe:/o:novell:opensuse:15.2, p-cpe:/a:novell:opensuse:blosc-debugsource, p-cpe:/a:novell:opensuse:blosc-devel, p-cpe:/a:novell:opensuse:libblosc1-debuginfo, p-cpe:/a:novell:opensuse:libblosc1
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2020/12/26
脆弱性公開日: 2020/11/27
参照情報
CVE: CVE-2020-29367