検出

Debian DLA-3393-1 : protobuf - LTS セキュリティ更新

high Nessus プラグイン ID 174436

Language:

概要

リモートの Debian ホストに 1 つまたは複数のセキュリティ関連の更新プログラムがありません。

説明

リモートの Debian 10 ホストには、dla-3393 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

 - protobuf-java の問題により、com.google.protobuf.UnknownFieldSet フィールドが不適切に処理されるような方法でインターリーブされる可能性がありました。悪意のある小さなペイロードが、頻繁に一時停止を繰り返す短期間のオブジェクトを大量に作成することにより、パーサーを数分間占有する可能性があります。ライブラリを脆弱なバージョン以降にアップグレードすることを推奨します。(CVE-2021-22569)

 - プロトシンボルに null char がある場合の Nullptr 逆参照。シンボルの解析が不適切なため、エラーメッセージの生成中に proto ファイルの名前への呼び出しがチェックされません。
 シンボルが不適切に解析されるため、ファイルは nullptr です。バージョン 3.15.0またはそれ以降にアップグレードすることをお勧めします。(CVE-2021-22570)

 - protobuf-cpp の 3.16.1、3.17.3、3.18.2、3.19.4、3.20.1、3.21.5 以前の ProtocolBuffers バージョンの MessageSet タイプの解析の脆弱性、および protobuf-python の 3.16.1、3.17.3、3.18.2、3.19.4、3.20.1、4.21.5 以前のバージョンにより、メモリ不足の障害が発生する可能性があります。
 要素ごとに複数の key-value がある特別に細工されたメッセージは、解析の問題を引き起こし、サニタイズされていない入力を受信するサービスに対するサービス拒否につながる可能性があります。protobuf-cpp の場合はバージョン 3.18.3、3.19.5、3.20.2、3.21.6 に、protobuf-python の場合は 3.18.3、3.19.5、3.20.2、4.21.6 にアップグレードすることをお勧めします。3.16 および 3.17 のバージョンは更新されなくなりました。(CVE-2022-1941)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

protobuf パッケージをアップグレードしてください。

Debian 10 buster では、これらの問題はバージョン 3.6.1.3-2+deb10u1 で修正されています。

参考資料

https://security-tracker.debian.org/tracker/source-package/protobuf

https://www.debian.org/lts/security/2023/dla-3393

https://security-tracker.debian.org/tracker/CVE-2021-22569

https://security-tracker.debian.org/tracker/CVE-2021-22570

https://security-tracker.debian.org/tracker/CVE-2022-1941

https://packages.debian.org/source/buster/protobuf

プラグインの詳細

深刻度: High

ID: 174436

ファイル名: debian_DLA-3393.nasl

バージョン: 1.0

タイプ: local

エージェント: unix

公開日: 2023/4/18

更新日: 2023/4/18

サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.4

CVSS v2

リスクファクター: Medium

基本値: 4.3

現状値: 3.4

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:N/A:P

CVSS スコアのソース: CVE-2021-22569

CVSS v3

リスクファクター: High

基本値: 7.5

現状値: 6.7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

CVSS スコアのソース: CVE-2022-1941

脆弱性情報

CPE: p-cpe:/a:debian:debian_linux:libprotobuf-dev, p-cpe:/a:debian:debian_linux:libprotobuf-java, p-cpe:/a:debian:debian_linux:libprotobuf-lite17, p-cpe:/a:debian:debian_linux:libprotobuf17, p-cpe:/a:debian:debian_linux:libprotoc-dev, p-cpe:/a:debian:debian_linux:libprotoc17, p-cpe:/a:debian:debian_linux:protobuf-compiler, p-cpe:/a:debian:debian_linux:python-protobuf, p-cpe:/a:debian:debian_linux:python3-protobuf, p-cpe:/a:debian:debian_linux:ruby-google-protobuf, cpe:/o:debian:debian_linux:10.0

必要な KB アイテム: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2023/4/18

脆弱性公開日: 2022/1/10

参照情報

CVE: CVE-2021-22569, CVE-2021-22570, CVE-2022-1941