Rocky Linux 8llvm-toolset:rhel8RLSA-2021:4743
high Nessus プラグイン ID 184843
Language:
概要
リモートの Rocky Linux ホストにセキュリティ更新プログラムがありません。説明
リモートのRocky Linux 8ホストには、RLSA-2021:4743アドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。- ** 異論あり ** 14.0 までの Unicode 仕様の双方向アルゴリズムで問題が発見されました。これにより、コントロールシーケンスを介して文字の視覚的な並べ替えが可能になります。これを利用して、コンパイラやインタープリターが取り込んだトークンの論理的な順序とは異なるロジックをレンダリングするソースコードを細工することができます。攻撃者はこれを悪用し、Unicode を受け入れるコンパイラのソースコードをエンコードすることで、対象となる脆弱性が人間のレビューアの目に見えないように導入される可能性があります。注意: Unicode Consortium は、この問題を提示する次の代替アプローチを提供しています。Unicode 標準および Unicode 双方向アルゴリズム (すべてのバージョン) のサポートを実装するアプリケーションに影響を与える可能性がある、国際化テキストの性質に問題が言及されています。テキストに左から右および右から左の文字が含まれているときのテキスト表示動作により、トークンの視覚的な順序が論理的な順序と異なる場合があります。
さらに、双方向テキストの要件を完全にサポートするために必要な制御文字が、トークンの論理的な順序をさらに不明瞭にする可能性があります。緩和されない限り、攻撃者は、人間のレビューアが認識するトークンの順序が、コンパイラ/インタープリター/その他で処理されるものと一致しないように、ソースコードを細工する可能性があります。Unicode Consortium は、このクラスの脆弱性をドキュメント、Unicode Technical Report #36、Unicode Security 考慮事項で文書化しています。Unicode Consortium は、Unicode Technical Standard #39、Unicode Security メカニズム、および Unicode Standard Annex #31、Unicode Identifier と Pattern Syntax で、このクラスの問題の緩和策に関するガイダンスも提供しています。また、BIDI 仕様により、アプリケーションは、プログラムテキストの誤解を招く視覚的な順序変更を緩和できる方法で、実装を調整できます。Unicode Standard Annex #9、Unicode 双方向アルゴリズムの HL4 を参照してください。
(CVE-2021-42574)
Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受けるパッケージを更新してください。参考資料
プラグインの詳細
深刻度: High
ID: 184843
ファイル名: rocky_linux_RLSA-2021-4743.nasl
バージョン: 1.0
タイプ: local
公開日: 2023/11/7
更新日: 2023/11/7
サポートされているセンサー: Continuous Assessment, Nessus
リスク情報
VPR
リスクファクター: High
スコア: 7.3
CVSS v2
リスクファクター: Medium
基本値: 5.1
現状値: 4
ベクトル: CVSS2#AV:N/AC:H/Au:N/C:P/I:P/A:P
CVSS スコアのソース: CVE-2021-42574
CVSS v3
リスクファクター: High
基本値: 8.3
現状値: 7.5
ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:rocky:linux:llvm-libs, p-cpe:/a:rocky:linux:llvm-doc, p-cpe:/a:rocky:linux:llvm-debuginfo, p-cpe:/a:rocky:linux:llvm-libs-debuginfo, p-cpe:/a:rocky:linux:lld-test-debuginfo, p-cpe:/a:rocky:linux:git-clang-format, p-cpe:/a:rocky:linux:llvm-googletest, p-cpe:/a:rocky:linux:libomp, p-cpe:/a:rocky:linux:llvm-devel, p-cpe:/a:rocky:linux:llvm-test-debuginfo, p-cpe:/a:rocky:linux:clang-libs, p-cpe:/a:rocky:linux:clang-tools-extra, p-cpe:/a:rocky:linux:clang-analyzer, p-cpe:/a:rocky:linux:lld-libs, p-cpe:/a:rocky:linux:llvm-static, p-cpe:/a:rocky:linux:llvm-test, p-cpe:/a:rocky:linux:lldb-debugsource, p-cpe:/a:rocky:linux:llvm-devel-debuginfo, p-cpe:/a:rocky:linux:clang-tools-extra-debuginfo, p-cpe:/a:rocky:linux:clang, p-cpe:/a:rocky:linux:compiler-rt-debugsource, p-cpe:/a:rocky:linux:lldb, p-cpe:/a:rocky:linux:compiler-rt-debuginfo, p-cpe:/a:rocky:linux:lld-debugsource, p-cpe:/a:rocky:linux:libomp-devel, p-cpe:/a:rocky:linux:llvm-toolset, p-cpe:/a:rocky:linux:libomp-debugsource, cpe:/o:rocky:linux:8, p-cpe:/a:rocky:linux:python3-lldb, p-cpe:/a:rocky:linux:python3-lit, p-cpe:/a:rocky:linux:libomp-debuginfo, p-cpe:/a:rocky:linux:clang-libs-debuginfo, p-cpe:/a:rocky:linux:python3-clang, p-cpe:/a:rocky:linux:lldb-devel, p-cpe:/a:rocky:linux:lld, p-cpe:/a:rocky:linux:libomp-test-debuginfo, p-cpe:/a:rocky:linux:lldb-debuginfo, p-cpe:/a:rocky:linux:lld-devel, p-cpe:/a:rocky:linux:lld-test, p-cpe:/a:rocky:linux:clang-devel, p-cpe:/a:rocky:linux:clang-debuginfo, p-cpe:/a:rocky:linux:clang-debugsource, p-cpe:/a:rocky:linux:libomp-test, p-cpe:/a:rocky:linux:clang-resource-filesystem, p-cpe:/a:rocky:linux:lld-debuginfo, p-cpe:/a:rocky:linux:lld-libs-debuginfo, p-cpe:/a:rocky:linux:llvm-debugsource, p-cpe:/a:rocky:linux:compiler-rt, p-cpe:/a:rocky:linux:llvm
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/RockyLinux/release, Host/RockyLinux/rpm-list
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2021/11/18
脆弱性公開日: 2021/10/28
参照情報
CVE: CVE-2021-42574