Amazon Linux 2022 : (ALAS2022-2022-184)

medium Nessus プラグイン ID 167032

概要

リモートの Amazon Linux 2022 ホストに、セキュリティ更新プログラムがありません。

説明

したがって、ALAS2022-2022-184 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

- OpenJPEG v2.4.0 の整数オーバーフローにより、リモートの攻撃者がアプリケーションをクラッシュさせ、サービス拒否 (DoS) を引き起こす可能性があります。これは、攻撃者が 1048576 ファイルを含むディレクトリでコマンドラインオプション -ImgDir を使用する場合に発生します。(CVE-2021-29338)

- openjpeg2 2.4.0の opj2_decompress プログラムに、多数のファイルがある入力ディレクトリを処理する形で、欠陥が見つかりました。入力ディレクトリのファイル名を保存するためのバッファの割り当てに失敗すると、初期化されていないポインターで free() を呼び出し、セグメンテーション違反とサービス拒否を引き起こします。(CVE-2022-1122)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

「dnf update openjpeg2 --releasever=2022.0.20221102」を実行してシステムを更新してください。

関連情報

https://alas.aws.amazon.com/cve/html/CVE-2022-1122.html

https://alas.aws.amazon.com/cve/html/CVE-2021-29338.html

https://alas.aws.amazon.com/AL2022/ALAS-2022-184.html

プラグインの詳細

深刻度: Medium

ID: 167032

ファイル名: al2022_ALAS2022-2022-184.nasl

バージョン: 1.2

タイプ: local

エージェント: unix

公開日: 2022/11/5

更新日: 2022/11/5

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment

リスク情報

VPR

リスクファクター: Medium

スコア: 4.4

CVSS v2

リスクファクター: Medium

Base Score: 4.3

Temporal Score: 3.2

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:N/A:P

現状ベクトル: CVSS2#E:U/RL:OF/RC:C

CVSS スコアのソース: CVE-2022-1122

CVSS v3

リスクファクター: Medium

Base Score: 5.5

Temporal Score: 4.8

ベクトル: CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:2.3:o:amazon:linux:2022:*:*:*:*:*:*:*, p-cpe:2.3:a:amazon:linux:openjpeg2:*:*:*:*:*:*:*, p-cpe:2.3:a:amazon:linux:openjpeg2-debuginfo:*:*:*:*:*:*:*, p-cpe:2.3:a:amazon:linux:openjpeg2-debugsource:*:*:*:*:*:*:*, p-cpe:2.3:a:amazon:linux:openjpeg2-devel:*:*:*:*:*:*:*, p-cpe:2.3:a:amazon:linux:openjpeg2-devel-docs:*:*:*:*:*:*:*, p-cpe:2.3:a:amazon:linux:openjpeg2-tools:*:*:*:*:*:*:*, p-cpe:2.3:a:amazon:linux:openjpeg2-tools-debuginfo:*:*:*:*:*:*:*

必要な KB アイテム: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2022/11/1

脆弱性公開日: 2021/4/14

参照情報

CVE: CVE-2021-29338, CVE-2022-1122