検出

Oracle Linux 8 : frr (ELSA-2024-2981)

high Nessus プラグイン ID 197991

Language:

概要

リモートの Oracle Linux ホストに、1 つ以上のセキュリティ更新プログラムがありません。

説明

リモートの Oracle Linux 8 ホストに、ELSA-2024-2981 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

 [7.5.1-22.0.1]
 - POSTIN スクリプトレットを修正します [Orabug: 34712485]
 - 修正: RHEL-15916 - bgpd/bgp_flowspec.c の Flowspec オーバーフロー
 - 修正: RHEL-15919 - bgpd/bgp_label.c における領域外の読み取り
 - 修正: RHEL-15869 - 特別に細工された MP_UNREACH_NLRI を含む BGP UPDATE メッセージからのクラッシュ
 - 修正: RHEL-15868 - 無効な形式の EOR を含む BGP UPDATE メッセージからのクラッシュ

 [7.5.1-22]
 - 解決: RHEL-22303 - Zebra がホストルートをフェッチしていません

 [7.5.1-21]
 - 解決: RHEL-2216 - NULL ポインターデリファレンス

 [7.5.1-20]
 - 修正: RHEL-4797 - bgp_attr_psid_sub() の長さチェックの欠落により、DoS が引き起こされる可能性

 [7.5.1-19]
 - 修正: RHEL-14824 - 細工された BGP UPDATE メッセージにより、クラッシュが引き起こされます

 [7.5.1-18]
 - 修正: RHEL-14821 - 無効な形式のデータが不適切に処理され、クラッシュを引き起こします

 [7.5.1-17]
 - 解決: RHEL-6583 - インバウンドルートルールを拒否から許可に変更した後、ルートがリフレッシュされません

 [7.5.1-16]
 - 修正: RHEL-15916 - bgpd/bgp_flowspec.c の Flowspec オーバーフロー
 - 修正: RHEL-15919 - bgpd/bgp_label.c における領域外の読み取り
 - 修正: RHEL-15869 - 特別に細工された MP_UNREACH_NLRI を含む BGP UPDATE メッセージからのクラッシュ
 - 修正: RHEL-15868 - 無効な形式の EOR を含む BGP UPDATE メッセージからのクラッシュ

 [7.5.1-15]
 - 解決: RHEL-12039 - plist 更新のクラッシュ

 [7.5.1-14]
 - 解決: RHEL-6617 - BGP 更新の無効なセクションの解析におけるエラーの不適切な処理が、ルーターをデピアする可能性があります

Tenable は、前述の記述ブロックを Oracle Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受ける frr および/または frr-selinux パッケージを更新してください。

参考資料

https://linux.oracle.com/errata/ELSA-2024-2981.html

プラグインの詳細

深刻度: High

ID: 197991

ファイル名: oraclelinux_ELSA-2024-2981.nasl

バージョン: 1.1

タイプ: local

エージェント: unix

公開日: 2024/5/28

更新日: 2024/5/28

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.4

CVSS v2

リスクファクター: High

基本値: 7.8

現状値: 6.1

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C

CVSS スコアのソース: CVE-2023-41909

CVSS v3

リスクファクター: High

基本値: 7.5

現状値: 6.7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:oracle:linux:8:10:appstream_base, p-cpe:/a:oracle:linux:frr, cpe:/o:oracle:linux:8, p-cpe:/a:oracle:linux:frr-selinux, cpe:/a:oracle:linux:8::appstream

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/OracleLinux

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2024/5/23

脆弱性公開日: 2023/5/9

参照情報

CVE: CVE-2023-31490, CVE-2023-41358, CVE-2023-41909, CVE-2023-46752, CVE-2023-46753