Debian dla-3823: less - セキュリティ更新

high Nessus プラグイン ID 197941

Language:

概要

リモートの Debian ホストにセキュリティ関連の更新プログラムがありません。

説明

リモートの Debian 10 ホストには、dla-3823 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

------------------------------------------------------------------------- Debian LTS アドバイザリ DLA-3823-1 [email protected] https://www.debian.org/lts/security/Guilhem Moulin 2024 年 5 月 27 日 https://wiki.debian.org/LTS-------------------------------------------------------------------------

パッケージ: less バージョン: 487-0.1+deb10u1 CVE ID: CVE-2022-48624 CVE-2024-32487 Debian バグ: 1064293 1068938

more に類似したページャープログラムである less にセキュリティ脆弱性が見つかりました。これにより、細工された名前のファイルを処理する際に、任意のコマンド実行を引き起こす可能性があります。

CVE-2022-48624

less の LESSCLOSE 処理で、シェルのメタ文字が引用されないことが判明しました。

CVE-2024-32487

改行文字を含むファイル名が、入力プリプロセッサの呼び出し中に任意のコマンドが実行される可能性があることが判明しました。

Debian 10 buster では、これらの問題はバージョン 487-0.1+deb10u1 で修正されています。

お使いの less パッケージをアップグレードすることを推奨します。

less の詳細なセキュリティステータスについては、そのセキュリティトラッカーページを参照してください:
https://security-tracker.debian.org/tracker/less

Debian LTS セキュリティアドバイザリに関する詳細、これらの更新をシステムに適用する方法、およびよくある質問については、こちらを参照してください。https://wiki.debian.org/LTSAttachment:signature.ascDescription: PGP 署名

Tenable は、前述の説明ブロックを Debian セキュリティアドバイザリから直接抽出しました。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。