SUSE SLES15セキュリティ更新プログラム: hdf5 (SUSE-SU-2022:3828-1)
critical Nessus プラグイン ID 166783
Language:
概要
リモートの SUSE ホストに 1 つ以上のセキュリティ更新がありません。説明
リモートの SUSE Linux SLES15ホストには、SUSE-SU-2022:3828-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。- HDF HDF5 1.10.2 ライブラリの H5VM.c の H5VM_memcpyvv で領域外読み取りが発見されました。これによりリモートのサービス拒否攻撃または情報漏洩攻撃が発生する可能性があります。(CVE-2018-11205)
- HDF HDF5 1.8.20ライブラリで問題が発見されました。H5Faccum.c の関数 H5F__accum_read に領域外読み取りがあります。(CVE-2018-13867)
- HDF HDF5 1.8.20ライブラリで問題が発見されました。H5T.c の関数 H5T_copy にヒープベースのバッファオーバーリードがあります。(CVE-2018-14031)
- HDF HDF5 1.8.20ライブラリで問題が発見されました。H5Lexternal.c の H5L_extern_query に領域外読み取りがあります。(CVE-2018-16438)
- HDF HDF5 1.10.3ライブラリで問題が発見されました。H5S.c の関数 H5S_extent_get_dims() にスタックベースのバッファオーバーフローがあります。具体的には、この問題は HDF5 ファイルを GIF ファイルに変換する際に発生します。(CVE-2018-17439)
- 1.10.4 までの HDF HDF5 ライブラリの H5Olayout.c の H5O__layout_encode のバッファオーバーフローにより、攻撃者が細工された HDF5 ファイルを介してサービス拒否を引き起こす可能性があります。この問題は、HDF5 ファイル (別名: サイズ 2 の無効な書き込み) の再パック中に発生しました。(CVE-2019-8396)
1.12.0までの HDF5 で問題が見つかりました。H5Fquery.c にある関数 H5F_get_nrefs() に NULL ポインターデリファレンスがあります。攻撃者がサービス拒否を引き起こす可能性があります。(CVE-2020-10812)
- /hdf5/src/H5Fint.c の H5F_addr_decode_len を介した HDF5 1.13.1-1 に、ヒープベースのバッファオーバーフローの脆弱性が存在します。これにより、サービス拒否が引き起こされる可能性があります。(CVE-2021-45830)
- /hdf5/src/H5Dchunk.c の H5D__create_chunk_file_map_hyper 関数を介した HDF5 1.13.1-1 に、スタックベースのバッファオーバーフローの脆弱性が存在します。これにより、サービス拒否 (コンテキスト依存) が発生します。(CVE-2021-45833)
- HDF5 v1.13.1-1 に、コンポーネント H5AC_unpin_entry による heap-use-after free が含まれていることが発見されました。
(CVE-2021-46242)
- /hdf5/src/H5T.c の関数 H5T__complete_copy () を介した HDF5 v1.13.1-1 に、ゼロ除算の脆弱性が存在します。この脆弱性により、サービス拒否 (DoS) を引き起こす aritmetic 例外が発生します。
(CVE-2021-46244)
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。
ソリューション
影響を受けるパッケージを更新してください。参考資料
https://bugzilla.suse.com/1093663
https://bugzilla.suse.com/1101475
https://bugzilla.suse.com/1101906
https://bugzilla.suse.com/1107069
https://bugzilla.suse.com/1111598
https://bugzilla.suse.com/1125882
https://bugzilla.suse.com/1167400
https://bugzilla.suse.com/1194366
https://bugzilla.suse.com/1194375
https://bugzilla.suse.com/1195212
https://bugzilla.suse.com/1195215
https://www.suse.com/security/cve/CVE-2018-11205
https://www.suse.com/security/cve/CVE-2018-13867
https://www.suse.com/security/cve/CVE-2018-14031
https://www.suse.com/security/cve/CVE-2018-16438
https://www.suse.com/security/cve/CVE-2018-17439
https://www.suse.com/security/cve/CVE-2019-8396
https://www.suse.com/security/cve/CVE-2020-10812
https://www.suse.com/security/cve/CVE-2021-45830
https://www.suse.com/security/cve/CVE-2021-45833
https://www.suse.com/security/cve/CVE-2021-46242
プラグインの詳細
深刻度: Critical
ID: 166783
ファイル名: suse_SU-2022-3828-1.nasl
バージョン: 1.5
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2022/11/2
更新日: 2023/7/13
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: High
基本値: 7.5
現状値: 5.9
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS スコアのソース: CVE-2018-13867
CVSS v3
リスクファクター: Critical
基本値: 9.8
現状値: 8.8
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:novell:suse_linux:hdf5-gnu-hpc-devel, p-cpe:/a:novell:suse_linux:libhdf5_hl_fortran-gnu-mvapich2-hpc, p-cpe:/a:novell:suse_linux:libhdf5_hl_fortran-gnu-openmpi2-hpc, p-cpe:/a:novell:suse_linux:libhdf5hl_fortran_1_10_8-gnu-hpc, p-cpe:/a:novell:suse_linux:libhdf5hl_fortran_1_10_8-gnu-mpich-hpc, p-cpe:/a:novell:suse_linux:libhdf5hl_fortran_1_10_8-gnu-mvapich2-hpc, p-cpe:/a:novell:suse_linux:libhdf5hl_fortran_1_10_8-gnu-openmpi2-hpc, cpe:/o:novell:suse_linux:15, p-cpe:/a:novell:suse_linux:hdf5-gnu-mpich-hpc-devel, p-cpe:/a:novell:suse_linux:hdf5-gnu-mvapich2-hpc-devel, p-cpe:/a:novell:suse_linux:hdf5-gnu-openmpi2-hpc-devel, p-cpe:/a:novell:suse_linux:hdf5_1_10_8-gnu-hpc, p-cpe:/a:novell:suse_linux:hdf5_1_10_8-gnu-hpc-devel, p-cpe:/a:novell:suse_linux:hdf5_1_10_8-gnu-hpc-devel-static, p-cpe:/a:novell:suse_linux:hdf5_1_10_8-gnu-hpc-module, p-cpe:/a:novell:suse_linux:hdf5_1_10_8-gnu-mpich-hpc, p-cpe:/a:novell:suse_linux:hdf5_1_10_8-gnu-mpich-hpc-devel, p-cpe:/a:novell:suse_linux:hdf5_1_10_8-gnu-mpich-hpc-devel-static, p-cpe:/a:novell:suse_linux:hdf5_1_10_8-gnu-mpich-hpc-module, p-cpe:/a:novell:suse_linux:hdf5_1_10_8-gnu-mvapich2-hpc, p-cpe:/a:novell:suse_linux:hdf5_1_10_8-gnu-mvapich2-hpc-devel, p-cpe:/a:novell:suse_linux:hdf5_1_10_8-gnu-mvapich2-hpc-devel-static, p-cpe:/a:novell:suse_linux:hdf5_1_10_8-gnu-mvapich2-hpc-module, p-cpe:/a:novell:suse_linux:hdf5_1_10_8-gnu-openmpi2-hpc, p-cpe:/a:novell:suse_linux:hdf5_1_10_8-gnu-openmpi2-hpc-devel, p-cpe:/a:novell:suse_linux:hdf5_1_10_8-gnu-openmpi2-hpc-devel-static, p-cpe:/a:novell:suse_linux:hdf5_1_10_8-gnu-openmpi2-hpc-module, p-cpe:/a:novell:suse_linux:libhdf5-gnu-hpc, p-cpe:/a:novell:suse_linux:libhdf5-gnu-mpich-hpc, p-cpe:/a:novell:suse_linux:libhdf5-gnu-mvapich2-hpc, p-cpe:/a:novell:suse_linux:libhdf5-gnu-openmpi2-hpc, p-cpe:/a:novell:suse_linux:libhdf5_1_10_8-gnu-hpc, p-cpe:/a:novell:suse_linux:libhdf5_1_10_8-gnu-mpich-hpc, p-cpe:/a:novell:suse_linux:libhdf5_1_10_8-gnu-mvapich2-hpc, p-cpe:/a:novell:suse_linux:libhdf5_1_10_8-gnu-openmpi2-hpc, p-cpe:/a:novell:suse_linux:libhdf5_cpp-gnu-hpc, p-cpe:/a:novell:suse_linux:libhdf5_cpp_1_10_8-gnu-hpc, p-cpe:/a:novell:suse_linux:libhdf5_fortran-gnu-hpc, p-cpe:/a:novell:suse_linux:libhdf5_fortran-gnu-mpich-hpc, p-cpe:/a:novell:suse_linux:libhdf5_fortran-gnu-mvapich2-hpc, p-cpe:/a:novell:suse_linux:libhdf5_fortran-gnu-openmpi2-hpc, p-cpe:/a:novell:suse_linux:libhdf5_fortran_1_10_8-gnu-hpc, p-cpe:/a:novell:suse_linux:libhdf5_fortran_1_10_8-gnu-mpich-hpc, p-cpe:/a:novell:suse_linux:libhdf5_fortran_1_10_8-gnu-mvapich2-hpc, p-cpe:/a:novell:suse_linux:libhdf5_fortran_1_10_8-gnu-openmpi2-hpc, p-cpe:/a:novell:suse_linux:libhdf5_hl-gnu-hpc, p-cpe:/a:novell:suse_linux:libhdf5_hl-gnu-mpich-hpc, p-cpe:/a:novell:suse_linux:libhdf5_hl-gnu-mvapich2-hpc, p-cpe:/a:novell:suse_linux:libhdf5_hl-gnu-openmpi2-hpc, p-cpe:/a:novell:suse_linux:libhdf5_hl_1_10_8-gnu-hpc, p-cpe:/a:novell:suse_linux:libhdf5_hl_1_10_8-gnu-mpich-hpc, p-cpe:/a:novell:suse_linux:libhdf5_hl_1_10_8-gnu-mvapich2-hpc, p-cpe:/a:novell:suse_linux:libhdf5_hl_1_10_8-gnu-openmpi2-hpc, p-cpe:/a:novell:suse_linux:libhdf5_hl_cpp-gnu-hpc, p-cpe:/a:novell:suse_linux:libhdf5_hl_cpp_1_10_8-gnu-hpc, p-cpe:/a:novell:suse_linux:libhdf5_hl_fortran-gnu-hpc, p-cpe:/a:novell:suse_linux:libhdf5_hl_fortran-gnu-mpich-hpc
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2022/11/1
脆弱性公開日: 2018/5/16
参照情報
CVE: CVE-2018-11205, CVE-2018-13867, CVE-2018-14031, CVE-2018-16438, CVE-2018-17439, CVE-2019-8396, CVE-2020-10812, CVE-2021-45830, CVE-2021-45833, CVE-2021-46242, CVE-2021-46244
SuSE: SUSE-SU-2022:3828-1