SUSE SLES12 セキュリティ更新プログラム: glibc (SUSE-SU-2022:1123-1)
high Nessus プラグイン ID 159567
Language:
概要
リモートの SUSE ホストにセキュリティ更新がありません。説明
リモートの SUSE Linux SLES12 / SLES_SAP12 ホストには、SUSE-SU-2022:1123-1 のアドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。- チルダ拡張の実行方法に、glibc アップストリームバージョン 2.14 に導入されたメモリ解放後使用 (Use After Free) の脆弱性が見つかりました。有効なユーザー名が後に続く最初のチルダを含むディレクトリパスは、この問題の影響を受けました。ローカルの攻撃者が、特別に細工されたパスを作成することでこの欠陥を悪用し、glob関数によって処理されるときに任意のコードを実行させる可能性があります。これはバージョン2.32で修正されました。(CVE-2020-1752 )
Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ頼っていることに注意してください。
ソリューション
影響を受けるパッケージを更新してください。参考資料
https://bugzilla.suse.com/1167631
プラグインの詳細
深刻度: High
ID: 159567
ファイル名: suse_SU-2022-1123-1.nasl
バージョン: 1.5
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2022/4/7
更新日: 2023/7/13
サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: Low
基本値: 3.7
現状値: 2.7
ベクトル: CVSS2#AV:L/AC:H/Au:N/C:P/I:P/A:P
CVSS スコアのソース: CVE-2020-1752
CVSS v3
リスクファクター: High
基本値: 7
現状値: 6.1
ベクトル: CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:novell:suse_linux:glibc, p-cpe:/a:novell:suse_linux:glibc-32bit, p-cpe:/a:novell:suse_linux:glibc-devel, p-cpe:/a:novell:suse_linux:glibc-devel-32bit, p-cpe:/a:novell:suse_linux:glibc-html, p-cpe:/a:novell:suse_linux:glibc-i18ndata, p-cpe:/a:novell:suse_linux:glibc-info, p-cpe:/a:novell:suse_linux:glibc-locale, p-cpe:/a:novell:suse_linux:glibc-locale-32bit, p-cpe:/a:novell:suse_linux:glibc-profile, p-cpe:/a:novell:suse_linux:glibc-profile-32bit, p-cpe:/a:novell:suse_linux:nscd, cpe:/o:novell:suse_linux:12
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2022/4/6
脆弱性公開日: 2020/3/25
参照情報
CVE: CVE-2020-1752
SuSE: SUSE-SU-2022:1123-1