Debian DSA-5306-1: gerbv - セキュリティ更新

critical Nessus プラグイン ID 169342

Language:

概要

リモートの Debian ホストにセキュリティ関連の更新プログラムがありません。

説明

リモートの Debian 11 ホストには、dsa-5306 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

-Gerbv 2.7.0 および dev (コミット b5f1eacd) とフォークされたバージョンの Gerbv (コミット 71493260) の RS-274X アパーチャマクロ変数処理機能に、領域外書き込みの脆弱性があります。特別に細工されたガーバーファイルにより、コードが実行される可能性があります。攻撃者が悪意のあるファイルを提供してこの脆弱性を利用する可能性があります。(CVE-2021-40393、CVE-2021-40394)

- Gerbv 2.7.0 および dev (コミット b5f1eacd) と Gerbv forked 2.7.1 の RS-274X アパーチャ定義トークン化機能にメモリ解放後使用 (Use After Free) の脆弱性が存在します。特別に細工されたガーバーファイルにより、コードが実行される可能性があります。攻撃者が悪意のあるファイルを提供してこの脆弱性を利用する可能性があります。(CVE-2021-40401)

- Gerbv 2.7.0 および dev (コミット b5f1eacd) と Gerbv forked 2.8.0 のピックアンドプレースローテーション解析機能に情報漏洩の脆弱性が存在します。特別に細工されたピックアンドプレースファイルが、欠落した構造体の初期化を悪用して、メモリコンテンツを漏洩する可能性があります。攻撃者が悪意のあるファイルを提供してこの脆弱性を利用する可能性があります。(CVE-2021-40403)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。