openSUSE 15 セキュリティ更新 : nim (openSUSE-SU-2022:10101-1)
critical Nessus プラグイン ID 164473
Language:
概要
リモートの openSUSE ホストに 1 つ以上のセキュリティ アップデートがありません。説明
リモートの openSUSE 15 ホストに、複数の脆弱性の影響を受けているパッケージがインストールされています。これらの脆弱性は openSUSE-SU-2022:10101-1 アドバイザリで言及されています。以下に対する Upstream セキュリティ修正が含まれます
* (boo#1175333、CVE-2020-15693) httpClient は CR-LF インジェクションに対して脆弱です
* (boo#1175334、CVE-2020-15692) browsers.openDefaultBrowser に対する引数の不適切な処理
* (boo#1175332、CVE-2020-15694) httpClient.get().contentLength() が、サーバー応答を適切に検証できません
* (boo#1192712、CVE-2021-41259) getContent 関数で null バイトが受け入れられ、URI 検証のバイパスが発生します
* (boo#1185948、CVE-2021-29495) stdlib httpClient は、デフォルトでピア証明書を検証しません
* (boo#1185085、CVE-2021-21374) SSL/TLS 証明書の不適切な検証
* (boo#1185084、CVE-2021-21373)「nimble refresh」は、エラーの際、非 TLS URL にフォールバックします
* (boo#1185083、CVE-2021-21372) doCmd を利用して、任意のコマンドを実行できます
* (boo#1181705、CVE-2020-15690) 標準ライブラリの asyncftpclient に改行文字のチェックがありません
1.6.6 に更新してください
* 標準ライブラリは変数名に一貫したスタイルを使用するため、
--styleCheck:usages オプションを使用して一貫したスタイルを強制するプロジェクトで使用できます。
* ARC/ORC はメソッドのディスパッチが大幅に高速化され、パフォーマンスが refc メモリ管理のレベルに戻りました。
* 全変更ログ:
https://nim-lang.org/blog/2022/05/05/version-166-released.html
- 以前の更新および変更ログ:
* 1.6.4:
https://nim-lang.org/blog/2022/02/08/version-164-released.html* 1.6.2:
https://nim-lang.org/blog/2021/12/17/version-162-released.html* 1.6.0:
https://nim-lang.org/blog/2021/10/19/version-160-released.html* 1.4.8:
https://nim-lang.org/blog/2021/05/25/version-148-released.html* 1.4.6:
https://nim-lang.org/blog/2021/04/15/versions-146-and-1212-released.html* 1.4.4:
https://nim-lang.org/blog/2021/02/23/versions-144-and-1210-released.html* 1.4.2:
https://nim-lang.org/blog/2020/12/01/version-142-released.html* 1.4.0:
https://nim-lang.org/blog/2020/10/16/version-140-released.html
1.2.16 への更新
* oids: PRNG からランダムモジュールへ切り替えます
* nimc.rst: テーブルのマークアップを修正します
* nimRawSetjmp: Windows をサポートします
* chronos を正しく有効化します
* bigints は 1.2.x で動作するように想定されていません
* nimpy を無効化
* その他のバグ修正。
* 回帰を処理する「mixin」ステートメントを修正します [backport:1.2]
Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受ける nim パッケージを更新してください。参考資料
https://bugzilla.suse.com/1175332
https://bugzilla.suse.com/1175333
https://bugzilla.suse.com/1175334
https://bugzilla.suse.com/1181705
https://bugzilla.suse.com/1185083
https://bugzilla.suse.com/1185084
https://bugzilla.suse.com/1185085
https://bugzilla.suse.com/1185948
https://bugzilla.suse.com/1192712
http://www.nessus.org/u?842793f7
https://www.suse.com/security/cve/CVE-2020-15690
https://www.suse.com/security/cve/CVE-2020-15692
https://www.suse.com/security/cve/CVE-2020-15693
https://www.suse.com/security/cve/CVE-2020-15694
https://www.suse.com/security/cve/CVE-2021-21372
https://www.suse.com/security/cve/CVE-2021-21373
プラグインの詳細
深刻度: Critical
ID: 164473
ファイル名: openSUSE-2022-10101-1.nasl
バージョン: 1.4
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2022/8/28
更新日: 2026/1/6
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Continuous Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: Critical
基本値: 10
現状値: 7.8
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS スコアのソース: CVE-2020-15692
CVSS v3
リスクファクター: Critical
基本値: 9.8
現状値: 8.8
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
脆弱性情報
CPE: cpe:/o:novell:opensuse:15.4, p-cpe:/a:novell:opensuse:nim
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2022/8/27
脆弱性公開日: 2020/8/14
参照情報
CVE: CVE-2020-15690, CVE-2020-15692, CVE-2020-15693, CVE-2020-15694, CVE-2021-21372, CVE-2021-21373, CVE-2021-21374, CVE-2021-29495