検出

Debian dla-3712 : kodi - セキュリティの更新

high Nessus プラグイン ID 189358

Language:

概要

リモートの Debian ホストにセキュリティ関連の更新プログラムがありません。

説明

リモートの Debian 10 ホストには、dla-3712 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

 - Kodi 用の Chorus2 2.4.2 アドオンのディレクトリトラバーサルの脆弱性により、リモートの攻撃者が、image/image%3A%2F%2F%2e%2e%252fetc%252fpasswd で示されているように、イメージパスの %2E%2E%252e (エンコードされたドットドットスラッシュ) を介して任意のファイルを読み取る可能性があります。(CVE-2017-5982)

 - 19.0 までの Kodi xbmc におけるバッファオーバーフローの脆弱性により、攻撃者は、istream に渡される値の長さが不適切であるため、サービス拒否を引き起こす可能性があります。(CVE-2021-42917)

 - 19.5 までの Kodi Home Theater Software におけるバッファオーバーフローの脆弱性により、攻撃者は、オフセット引数に渡される値の長さが不適切であるため、サービス拒否を引き起こす可能性があります。(CVE-2023-23082)

 - Kodi Home Theatre Software 19.5 以前で発見されたゼロ除算問題により、攻撃者が細工された mp3 ファイルを使用することで、サービス拒否を引き起こす可能性があります。(CVE-2023-30207)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

kodi パッケージをアップグレードしてください。

参考資料

https://security-tracker.debian.org/tracker/source-package/kodi

https://security-tracker.debian.org/tracker/CVE-2017-5982

https://security-tracker.debian.org/tracker/CVE-2021-42917

https://security-tracker.debian.org/tracker/CVE-2023-23082

https://security-tracker.debian.org/tracker/CVE-2023-30207

https://packages.debian.org/source/buster/kodi

プラグインの詳細

深刻度: High

ID: 189358

ファイル名: debian_DLA-3712.nasl

バージョン: 1.0

タイプ: local

エージェント: unix

公開日: 2024/1/23

更新日: 2024/1/23

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.4

CVSS v2

リスクファクター: Medium

基本値: 5

現状値: 3.9

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N

CVSS スコアのソース: CVE-2017-5982

CVSS v3

リスクファクター: High

基本値: 7.5

現状値: 6.7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:debian:debian_linux:kodi, p-cpe:/a:debian:debian_linux:kodi-addons-dev, p-cpe:/a:debian:debian_linux:kodi-bin, p-cpe:/a:debian:debian_linux:kodi-data, p-cpe:/a:debian:debian_linux:kodi-eventclients-common, p-cpe:/a:debian:debian_linux:kodi-eventclients-dev, p-cpe:/a:debian:debian_linux:kodi-eventclients-kodi-send, p-cpe:/a:debian:debian_linux:kodi-eventclients-ps3, p-cpe:/a:debian:debian_linux:kodi-eventclients-wiiremote, p-cpe:/a:debian:debian_linux:kodi-repository-kodi, cpe:/o:debian:debian_linux:10.0

必要な KB アイテム: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2024/1/17

脆弱性公開日: 2017/2/28

参照情報

CVE: CVE-2017-5982, CVE-2021-42917, CVE-2023-23082, CVE-2023-30207