リモートの Ubuntu 18.04 LTS / 20.04 LTS / 22.04LTS / 22.10 ホストには、USN-5945-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

  - protobuf-java の問題により、com.google.protobuf.UnknownFieldSet フィールドが不適切に処理されるような方法でインターリーブされる可能性がありました。悪意のある小さなペイロードが、頻繁に一時停止を繰り返す短期間のオブジェクトを大量に作成することにより、パーサーを数分間占有する可能性があります。ライブラリを脆弱なバージョン以降にアップグレードすることを推奨します。(CVE-2021-22569)

  - プロトシンボルに null char がある場合の Nullptr 逆参照。シンボルの解析が不適切なため、エラーメッセージの生成中に proto ファイルの名前への呼び出しがチェックされません。
    シンボルが不適切に解析されるため、ファイルは nullptr です。バージョン 3.15.0またはそれ以降にアップグレードすることをお勧めします。(CVE-2021-22570)

  - protobuf-cpp の 3.16.1、3.17.3、3.18.2、3.19.4、3.20.1、3.21.5 以前の ProtocolBuffers バージョンの MessageSet タイプの解析の脆弱性、および protobuf-python の 3.16.1、3.17.3、3.18.2、3.19.4、3.20.1、4.21.5 以前のバージョンにより、メモリ不足の障害が発生する可能性があります。
    要素ごとに複数の key-value がある特別に細工されたメッセージは、解析の問題を引き起こし、サニタイズされていない入力を受信するサービスに対するサービス拒否につながる可能性があります。protobuf-cpp の場合はバージョン 3.18.3、3.19.5、3.20.2、3.21.6 に、protobuf-python の場合は 3.18.3、3.19.5、3.20.2、4.21.6 にアップグレードすることをお勧めします。3.16 および 3.17 のバージョンは更新されなくなりました。(CVE-2022-1941)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

検出

Ubuntu 18.04 LTS / 20.04 LTS / 22.04 LTS : プロトコルバッファの脆弱性 (USN-5945-1)

high Nessus プラグイン ID 172495

バージョン 1.4