SUSE SLES15: libjavascriptcoregtk-4_0-18 / libwebkit2gtk-4_0-37 / etc (SUSE-SU-2023:0573-1)

high Nessus プラグイン ID 172028

Language:

概要

リモートの SUSE ホストに 1 つ以上のセキュリティ更新がありません。

説明

リモートの SUSE Linux SLES15 / SLES_SAP15 ホストには、SUSE-SU-2023:0573-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

バージョン 2.38.5 へのアップデート (boo#1208328):

- CVE-2023-23529: 悪意を持って細工されたウェブコンテンツを介した任意のコード実行の可能性を修正。

バージョン 2.38.4 へのアップデート (boo#1207997):

- CVE-2023-23517: ウェブコンテンツ処理において任意のコード実行につながる可能性があった問題を修正。
- CVE-2023-23518: ウェブコンテンツ処理において任意のコード実行につながる可能性があった問題を修正。
- CVE-2022-42826: 不適切なメモリ管理に起因するメモリ解放後使用 (Use-After-Free) の問題を修正。


すでにリリースされた更新に新たな CVE およびバグ参照が追加されました:

バージョン 2.38.3 へのアップデート (boo#1206750):

- CVE-2022-42852: メモリ処理の改善によるプロセスメモリの情報漏洩を修正。
- CVE-2022-42867: メモリ管理の改善によりメモリ解放後使用 (Use-After-Free) の問題を修正。
- CVE-2022-46692: 状態管理の改善による同一生成元ポリシーのバイパスを修正。
- CVE-2022-46698: チェックの改善によるユーザー機密情報の漏洩を修正。
- CVE-2022-46699: メモリ破損に起因する任意のコード実行を修正。
- CVE-2022-46700: 悪意を持って細工されたウェブコンテンツを処理した際に任意のコードが実行される可能性があった問題を修正。

バージョン 2.38.1 への更新:

- CVE-2022-46691: 悪意を持って細工されたウェブコンテンツを処理した際に任意のコードが実行される可能性があった問題を修正。

バージョン 2.38.0 への更新:

- CVE-2022-42863: 悪意を持って細工されたウェブコンテンツを処理した際に任意のコードが実行される可能性があった問題を修正。

Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://bugzilla.suse.com/1206750

https://bugzilla.suse.com/1207997

https://bugzilla.suse.com/1208328

https://www.suse.com/security/cve/CVE-2022-42826

https://www.suse.com/security/cve/CVE-2022-42852

https://www.suse.com/security/cve/CVE-2022-42863

https://www.suse.com/security/cve/CVE-2022-42867

https://www.suse.com/security/cve/CVE-2022-46691

https://www.suse.com/security/cve/CVE-2022-46692

https://www.suse.com/security/cve/CVE-2022-46698

https://www.suse.com/security/cve/CVE-2022-46699

https://www.suse.com/security/cve/CVE-2022-46700

https://www.suse.com/security/cve/CVE-2023-23517

https://www.suse.com/security/cve/CVE-2023-23518

https://www.suse.com/security/cve/CVE-2023-23529

http://www.nessus.org/u?022eea82

プラグインの詳細

深刻度: High

ID: 172028

ファイル名: suse_SU-2023-0573-1.nasl

バージョン: 1.5

タイプ: Local

エージェント: unix

公開日: 2023/3/1

更新日: 2026/6/26

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Tenable Cloud Security, Tenable Self-Hosted Container Security, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.9

パーセンタイル: 96.95

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 8.3

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2023-23529

CVSS v3

リスクファクター: High

基本値: 8.8

現状値: 8.2

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:F/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:suse_linux:typelib-1_0-webkit2-4_0, p-cpe:/a:novell:suse_linux:libjavascriptcoregtk-4_0-18, p-cpe:/a:novell:suse_linux:libwebkit2gtk3-lang, p-cpe:/a:novell:suse_linux:libwebkit2gtk-4_0-37, p-cpe:/a:novell:suse_linux:webkit2gtk3-devel, p-cpe:/a:novell:suse_linux:typelib-1_0-webkit2webextension-4_0, cpe:/o:novell:suse_linux:15, p-cpe:/a:novell:suse_linux:webkit2gtk-4_0-injected-bundles, p-cpe:/a:novell:suse_linux:typelib-1_0-javascriptcore-4_0

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2023/2/28

脆弱性公開日: 2022/12/15

CISA の既知の悪用された脆弱性の期限日: 2023/3/7

参照情報

CVE: CVE-2022-42826, CVE-2022-42852, CVE-2022-42863, CVE-2022-42867, CVE-2022-46691, CVE-2022-46692, CVE-2022-46698, CVE-2022-46699, CVE-2022-46700, CVE-2023-23517, CVE-2023-23518, CVE-2023-23529

SuSE: SUSE-SU-2023:0573-1