検出

プラグイン

openSUSE 15 のセキュリティ更新: chromium、gn、rust-bindgen (openSUSE-SU-2024:0254-2)

high Nessus プラグイン ID 206192

Language:

概要

リモートの openSUSE ホストに 1 つ以上のセキュリティアップデートがありません。

説明

リモートの openSUSE 15 ホストには、openSUSE-SU-2024:0254-2 のアドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

- Chromium 127.0.6533.119 (boo#1228941)

* CVE-2024-7532: ANGLE における領域外メモリアクセス
* CVE-2024-7533: Sharing におけるメモリ解放後使用 (Use After Free)
* CVE-2024-7550: V8 の型の取り違え
* CVE-2024-7534: Layout におけるヒープバッファオーバーフロー
* CVE-2024-7535: V8 における不適切な実装
* CVE-2024-7536: WebAudio におけるメモリ解放後使用 (Use After Free)

- Chromium 127.0.6533.88 (boo#1228628、boo#1228940、boo#1228942)

* CVE-2024-6988: Downloads におけるメモリ解放後使用 (Use After Free)
* CVE-2024-6989: Loader におけるメモリ解放後使用 (Use-After-Free)
* CVE-2024-6991: Dawn のメモリ解放後使用 (Use After Free)
* CVE-2024-6992: ANGLE における領域外メモリアクセス
* CVE-2024-6993: Canvas における不適切な実装
* CVE-2024-6994: Layout におけるヒープバッファオーバーフロー
* CVE-2024-6995: 全画面における不適切な実装
* CVE-2024-6996: フレームにおける競合
* CVE-2024-6997: Tabs におけるメモリ解放後使用 (Use After Free)
* CVE-2024-6998: ユーザー教育におけるメモリ解放後使用 (Use After Free)
* CVE-2024-6999: FedCM における不適切な実装
* CVE-2024-7000: CSS におけるメモリ解放後使用 (Use After Free) 匿名により報告されました
* CVE-2024-7001: HTML における不適切な実装
* CVE-2024-7003: FedCM における不適切な実装
* CVE-2024-7004: Safe Browsing における信頼できない入力の不十分な検証
* CVE-2024-7005: Safe Browsing における信頼できない入力の不十分な検証
* CVE-2024-6990: Dawn の初期化されていない使用
* CVE-2024-7255: WebTransport における領域外読み取り
* CVE-2024-7256: Dawn における不十分なデータ検証

gh:

- バージョン 0.20240730 への更新:
* Rust: dylibs の link_output、depend_output、runtime_outputs
* 欠落している参照セクションを function_toolchain.cc に追加
* 出力ディレクトリにある args.gn インポートをクリーンアップしない。
* NinjaRustBinaryTargetWriterTest.SwiftModule の期待値を修正
* ライブラリ検索パスにネイティブ依存関係を追加しない
* Rust ターゲットのフレームワークと swift モジュールのリンクをサポート
* [desc] json を出力するとき、print() ステートメントを抑制
* infra: CI/try ビルドを Ubuntu-22.04 に移動
* [MinGW] mingw 構築の問題を修正
* [gn] //examples/simple_build/build/toolchain/BUILD.gn の「link」を修正
* [テンプレート] //build/build_linux.ninja.template の「rule alink_thin」を修正
* 複数の --ide スイッチを許可
* [src] //src/base/files/file_enumerator_win.cc で「#include <limits>」を追加
* Upstream から infra/recipes.py の更新プログラムを入手
*「64 個を超えるプロセッサを備えたシステムを処理するように gn を教育」を元に戻す
* [apple] create_bundle のコード署名プロパティの名前を変更
*「gn help refs」出力の誤字を修正
*「[bundle] create_bundle ターゲットに「phony」ビルトインツールを使用」を元に戻す
*「[bundle] create_bundle ターゲットに「phony」ビルトインツールを使用
* [ios] 資産カタログの処理を簡素化
* [swift] すべての出力を「source_set」スタンプファイルの deps として一覧表示
* [swift] 生成されたヘッダーを考慮するように「gn check ...」を更新
* [swift]「restat = 1」を設定してビルドルールを高速化
* gcc12 を含むビルドを修正
* [label_matches] 新しい関数 label_matches()、filter_labels_include()、filter_labels_exclude() を追加
* [swift]「stamp」ツールの問題のある使用を削除
* 新しい --ninja-outputs-file オプションを実装します。
* NinjaOutputsWriter クラスを追加
* InvokePython() 関数を独自のソースファイルに移動。
* zos: -DZOSLIB_OVERRIDE_CLIB でビルドし、creat をオーバーライド
* デバッグモードで C++ ランタイムアサーションを有効にする。
* MakeRelativePath() の回帰を修正
* 修正: Windows MakeRelativePath を修正。
* Windows の長いパスのサポートを追加
* read_file() ファイルが「gnanalyze」によって考慮されるようにする
* 一部の Python スクリプトに対して 2to3 を適用
* rustflags を desc に追加し、出力を支援
* 文字列: StartsWith/EndsWith でのみ大文字と小文字を区別しないチェックをサポート
* .git-blame-ignore-revs を追加
* std::{string,string_view}::{starts_with,ends_with} を使用
* clang-format をすべての C++ ソースに適用
* rust_values.h に前方宣言を追加
*「root_patterns」リストをビルド設定に追加。
* GN ビルドで c++20 を使用
* windows sdk を 2024 年 1 月 11 日に更新
* windows sdk を更新
* linux-riscv64 を追加。
* OWNERS リストを更新。
* 未使用の関数を削除
* ビルドの警告を無視 -Werror=redundant-move
* --as=buildfile「gn desc deps」出力を修正。
* レシピエンジンを 9dea1246 に更新。
* treewide: スペルミスを修正

rust-bindgen を追加:

- バージョン 0.69.1

Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受ける chromedriver、chromium、gn、rust-bindgen パッケージを更新してください。

参考資料

https://bugzilla.suse.com/1228628

https://bugzilla.suse.com/1228940

https://bugzilla.suse.com/1228941

https://bugzilla.suse.com/1228942

http://www.nessus.org/u?7f1aa27c

https://www.suse.com/security/cve/CVE-2024-6988

https://www.suse.com/security/cve/CVE-2024-6989

https://www.suse.com/security/cve/CVE-2024-6990

https://www.suse.com/security/cve/CVE-2024-6991

https://www.suse.com/security/cve/CVE-2024-6992

https://www.suse.com/security/cve/CVE-2024-6993

https://www.suse.com/security/cve/CVE-2024-6994

https://www.suse.com/security/cve/CVE-2024-6995

https://www.suse.com/security/cve/CVE-2024-6996

https://www.suse.com/security/cve/CVE-2024-6997

https://www.suse.com/security/cve/CVE-2024-6998

https://www.suse.com/security/cve/CVE-2024-6999

https://www.suse.com/security/cve/CVE-2024-7000

https://www.suse.com/security/cve/CVE-2024-7001

https://www.suse.com/security/cve/CVE-2024-7003

https://www.suse.com/security/cve/CVE-2024-7004

https://www.suse.com/security/cve/CVE-2024-7005

https://www.suse.com/security/cve/CVE-2024-7255

https://www.suse.com/security/cve/CVE-2024-7256

https://www.suse.com/security/cve/CVE-2024-7532

https://www.suse.com/security/cve/CVE-2024-7533

https://www.suse.com/security/cve/CVE-2024-7534

https://www.suse.com/security/cve/CVE-2024-7535

https://www.suse.com/security/cve/CVE-2024-7536

https://www.suse.com/security/cve/CVE-2024-7550

プラグインの詳細

深刻度: High

ID: 206192

ファイル名: openSUSE-2024-0254-2.nasl

バージョン: 1.1

タイプ: local

エージェント: unix

ファミリー: SuSE Local Security Checks

公開日: 2024/8/25

更新日: 2024/8/25

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: High

スコア: 7.4

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 7.4

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2024-7550

CVSS v3

リスクファクター: High

基本値: 8.8

現状値: 7.7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:rust-bindgen, cpe:/o:novell:opensuse:15.6, p-cpe:/a:novell:opensuse:chromedriver, p-cpe:/a:novell:opensuse:gn, cpe:/o:novell:opensuse:15.5, p-cpe:/a:novell:opensuse:chromium

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2024/8/19

脆弱性公開日: 2024/7/23

参照情報

CVE: CVE-2024-6988, CVE-2024-6989, CVE-2024-6990, CVE-2024-6991, CVE-2024-6992, CVE-2024-6993, CVE-2024-6994, CVE-2024-6995, CVE-2024-6996, CVE-2024-6997, CVE-2024-6998, CVE-2024-6999, CVE-2024-7000, CVE-2024-7001, CVE-2024-7003, CVE-2024-7004, CVE-2024-7005, CVE-2024-7255, CVE-2024-7256, CVE-2024-7532, CVE-2024-7533, CVE-2024-7534, CVE-2024-7535, CVE-2024-7536, CVE-2024-7550