検出

SUSE SLES15 / openSUSE 15 セキュリティ更新: 389-ds (SUSE-SU-2024:3082-1)

high Nessus プラグイン ID 206434

Language:

概要

リモートの SUSE ホストに 1 つ以上のセキュリティ更新がありません。

説明

リモートの SUSE Linux SLES15/ SLES_SAP15 / openSUSE 15 ホストには、SUSE-SU-2024:3082-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

 セキュリティの問題を修正:

 - CVE-2024-3657: 特別に細工された kerberos AS-REQ リクエストによる潜在的なサービス拒否を修正しました (bsc#1225512)
 - CVE-2024-5953: 無効な形式の userPassword ハッシュによって引き起こされるサービス拒否を修正しました (bsc#1226277)
 - CVE-2024-2199: do_modify() での無効な形式の userPassword によって引き起こされるクラッシュを修正しました (bsc#1225507)

 修正された非セキュリティ問題:

 - ユーザーが iso-8859-1 エンコーディングを使用してパスワードを変更する場合にクラッシュする (bsc#1228912)

 - バージョン 2.2.10~git2.345056d3 に更新してください。
 * 問題 2324 - CI テストの追加 (#6289)
 * 問題 6284 - バグ - フリーリストによる順序付けにより wtime が長くなります

 - バージョン 2.2.10~git0.4d7218b7 に更新してください。
 - バージョンを 2.2.10 に更新します
 * 問題 5327 - テストメタデータを修正します
 * 問題 5853 - Cargo.lock を更新します
 * 問題 5962 - 32 ビットサポートロジックのインクルードを再配置します
 * 問題 5973 - fedora cop RawHide ビルドを修正します (#5974)
 * /src/cockpit/389-console でブレースを 3.0.2 から 3.0.3 に更新します
 * 問題 6254 - サブサフィックスのレプリケーションを有効にするとブラウザがクラッシュします (#6255)
 * 問題 6224 - d2entry - id2entry err 0 を開くことができませんでした - 起動時にサブサフィックスがある場合 (#6225)
 * 問題 6183 - 新たに作成された BDB バックエンドで ldif2db のインポートが遅い (#6208)
 * 問題 6170 - 監査ログバッファリングが大規模な更新を処理しない
 * 問題 6193 - テストの失敗: test_tls_command_returns_error_text
 * 問題 6189 - CI テストが「[Errno 2]
'/var/cache/dnf/metadata_lock.pid' のようなファイルやディレクトリがありません」で失敗します
 * 問題 6172 - RFE : 大きな値セット (グループメンバーなど) に対してテストされるとき、フィルターコンポーネントの評価のパフォーマンスが向上します (#6173)
 * 問題 6092 - passwordHistory は、事前にハッシュされたパスワードで更新されない (#6093)
 * 問題 6080 - referint_get_config での ns-slapd のクラッシュ (#6081)
 * 問題 6117 - UTC オフセット印刷の修正 (#6118)
 * 問題 5305 - OpenLDAP バージョンの自動検出が機能しない
 * 問題 6112 - RFE - MFA 認証の操作上の注意の新規追加
 * 問題 5842 - ログバッファリングを監査ログに追加
 * 問題 6103 - 新しい接続タイムアウトエラーがエラーマップを破損します (#6104)
 * 問題 6067 - dsidm CLI のエントリがない場合の処理の改善 (#6079)
 * 問題 6096 - 接続タイムアウトエラーログを改善します (#6097)
 * 問題 6067 - 各 CLI サブコマンドに -v および -j の非表示オプションを追加 (#6088)
 * 問題 5487 - logconv.pl のさまざまな問題を修正 (#6085)

Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://bugzilla.suse.com/1225507

https://bugzilla.suse.com/1225512

https://bugzilla.suse.com/1226277

https://bugzilla.suse.com/1228912

http://www.nessus.org/u?3c4737e9

https://www.suse.com/security/cve/CVE-2024-2199

https://www.suse.com/security/cve/CVE-2024-3657

https://www.suse.com/security/cve/CVE-2024-5953

プラグインの詳細

深刻度: High

ID: 206434

ファイル名: suse_SU-2024-3082-1.nasl

バージョン: 1.1

タイプ: local

エージェント: unix

公開日: 2024/9/3

更新日: 2024/9/3

サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.4

CVSS v2

リスクファクター: High

基本値: 7.8

現状値: 5.8

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C

CVSS スコアのソース: CVE-2024-3657

CVSS v3

リスクファクター: High

基本値: 7.5

現状値: 6.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:suse_linux:libsvrcore0, p-cpe:/a:novell:suse_linux:389-ds-devel, p-cpe:/a:novell:suse_linux:389-ds, p-cpe:/a:novell:suse_linux:lib389, cpe:/o:novell:suse_linux:15

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2024/9/2

脆弱性公開日: 2024/5/28

参照情報

CVE: CVE-2024-2199, CVE-2024-3657, CVE-2024-5953

SuSE: SUSE-SU-2024:3082-1