openSUSE 15 セキュリティ更新 : dcmtk (openSUSE-SU-2023:0108-1)

critical Nessus プラグイン ID 175812

Language:

概要

リモートの openSUSE ホストに 1 つ以上のセキュリティアップデートがありません。

説明

リモートの openSUSE 15 ホストには、openSUSE-SU-2023:0108-1 のアドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

- OFFIS DCMTK (3.6.7 より前のすべてのバージョン) のサービスクラスプロバイダー (SCP) はパストラバーサルに脆弱であるため、攻撃者が制御された名前で任意のディレクトリに DICOM ファイルを書き込む可能性があります。このため、コードがリモートで実行される可能性があります。(CVE-2022-2119)

- OFFIS DCMTK (3.6.7 より前のすべてのバージョン) のサービスクラスユーザー (SCU) は相対パストラバーサルに脆弱であるため、攻撃者が制御された名前で任意のディレクトリに DICOM ファイルを書き込む可能性があります。
このため、コードがリモートで実行される可能性があります。(CVE-2022-2120)

- OFFIS DCMTK (3.6.7 より前のすべてのバージョン) には、DICOM ファイルの処理中に NULL ポインターデリファレンスの脆弱性があり、サービス拒否状態を引き起こす可能性があります。(CVE-2022-2121)

- DCMTK v3.6.7 に、T_ASC_Association オブジェクトを介したメモリリークがあることが発見されました。(CVE-2022-43272)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。