検出

Ubuntu 16.04 ESM / 18.04 ESM / 20.04 LTS : FAAD2 の脆弱性 (USN-6313-1)

high Nessus プラグイン ID 180236

Language:

概要

リモート Ubuntu ホストに 1 つ以上のセキュリティ更新がありません。

説明

リモートの Ubuntu 16.04ESM / 18.04ESM / 20.04ホストには、USN-6313-1 アドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

 - 2.10.0より前の faad2 で問題が見つかりました。mp4read.c にある関数 stszin にヒープバッファオーバーフローが存在します。これにより攻撃者がコードを実行することが可能です。(CVE-2021-32272)

 - 2.10.0までのfaad2で問題が見つかりました。mp4read.c にある関数 stszin にスタックバッファオーバーフローが存在します。これにより攻撃者がコードを実行することが可能です。(CVE-2021-32273)

 - 2.10.0までのfaad2で問題が見つかりました。sbr_qmf.cにある関数sbr_qmf_synthesis_64にヒープバッファオーバーフローが存在します。これにより攻撃者がコードを実行することが可能です。(CVE-2021-32274)

 - 2.10.0までのfaad2で問題が見つかりました。output.cにあるget_sample()関数にNULLポインターのデリファレンスがあります。攻撃者がサービス拒否を引き起こす可能性があります。(CVE-2021-32276)

 - 2.10.0までのfaad2で問題が見つかりました。sbr_qmf.cにある関数sbr_qmf_analysis_32にヒープバッファオーバーフローが存在します。これにより攻撃者がコードを実行することが可能です。(CVE-2021-32277)

 - 2.10.0までのfaad2で問題が見つかりました。lt_predict.cにある関数lt_predictionにヒープバッファオーバーフローが存在します。これにより攻撃者がコードを実行することが可能です。(CVE-2021-32278)

 - infaad2 v.2.10.1 のバッファオーバーフローの脆弱性により、リモート攻撃者が任意のコードを実行し、mp4read.c の stcoin 関数を介してサービス拒否を引き起こす可能性があります。(CVE-2023-38857)

 - infaad2 v.2.10.1 のバッファオーバーフローの脆弱性により、リモート攻撃者が任意のコードを実行し、mp4read.c: 1039 の mp4info 関数を介してサービス拒否を引き起こす可能性があります。(CVE-2023-38858)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

影響を受ける faad、libfaad-dev、libfaad2 パッケージを更新してください。

参考資料

https://ubuntu.com/security/notices/USN-6313-1

プラグインの詳細

深刻度: High

ID: 180236

ファイル名: ubuntu_USN-6313-1.nasl

バージョン: 1.0

タイプ: local

エージェント: unix

公開日: 2023/8/29

更新日: 2023/8/29

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: Medium

基本値: 6.8

現状値: 5.3

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2021-32278

CVSS v3

リスクファクター: High

基本値: 7.8

現状値: 7

ベクトル: CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: cpe:/o:canonical:ubuntu_linux:16.04:-:esm, cpe:/o:canonical:ubuntu_linux:18.04:-:esm, cpe:/o:canonical:ubuntu_linux:20.04:-:lts, p-cpe:/a:canonical:ubuntu_linux:faad, p-cpe:/a:canonical:ubuntu_linux:libfaad-dev, p-cpe:/a:canonical:ubuntu_linux:libfaad2

必要な KB アイテム: Host/cpu, Host/Debian/dpkg-l, Host/Ubuntu, Host/Ubuntu/release

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2023/8/29

脆弱性公開日: 2021/9/20

参照情報

CVE: CVE-2021-32272, CVE-2021-32273, CVE-2021-32274, CVE-2021-32276, CVE-2021-32277, CVE-2021-32278, CVE-2023-38857, CVE-2023-38858

USN: 6313-1