Fedora 39 : glibc (2024-df41d584d0)

high Nessus プラグイン ID 209838

Language:

概要

リモートの Fedora ホストに 1 つ以上のセキュリティ更新プログラムがありません。

説明

リモートの Fedora 39 ホストには、FEDORA-2024-df41d584d0 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

Upstream ブランチの release/2.38/master との自動同期

- 圧縮された文字マップと情報ファイルに対して BuildRequires:gzip を追加します。

Upstream コミット: 4dd8641461463b667b5503ab0ea4abcf261378a9

- glibc 2.0 互換性テスト用に crt1-2.0.o を追加
- libio: 非レガシーコードに対してのみワイドバックアップ解放を試行
- nptl: tst-setuid3 の <support/check.h> 機能を使用
- posix: tst-truncate および tst-truncate64 の <support/check.h> 機能を使用
- ungetc: プログラム終了時のバックアップバッファの漏洩を修正 [BZ #27821]
- ungetc: 未使用のストリームに配置する際の初期化されていない読み取りを修正 [BZ #27821]
- tst-ungetc が libsupport を使用するようにする
- stdio-common: INT_MAX より長い一致がある vfscanf のテストを追加 [BZ #27650]
- サポート: FAIL テスト失敗ヘルパーを追加
- x86: strchrnul-evex512 のバグを修正 [BZ #32078]
- fortify ラッパーの名前空間違反を修正 (バグ 32052)
- 解決: 古い GCC の tst-resolv-short-response を修正 (バグ 32042)
- Linux 6.5 の syscall リストを更新
- mremap テストを追加
- mremap: マニュアルエントリを更新
- linux: mremap C 実装を更新 [BZ #31968]
- 解決: _res._flags を介して単一リクエストのフォールバックを追跡 (バグ 31476)
- 解決: エラー後に存在しない 2 番目の DNS 応答を待機しない (バグ 30081)
- 解決: 任意のクエリに一致する短いエラー応答を許可 (バグ 31890)
- Linux: __rseq_size を機能検出に役立てる (バグ 31965)
- elf: dl-rseq-symbols を Linux に限定
- nptl: __rseq_* relro シンボルの潜在的なマージを修正
- s390x: wcsncmp のセグメンテーション違反を修正 [BZ #31934]
- misc: Linux uio.h RWF_NOAPPEND フラグのサポートを追加
- i386: GCC 15 以降に対して Intel Xeon Phi のテストを無効化 (BZ 31782)
- --enable-hardcoded-path-in-tests に対して DT_RPATH を強制
- 解決: リゾルバーにおける一部の非整列アクセスを修正 [BZ #30750]
- nscd: addgetnetgrentX の戻り値の型に対して time_t を使用
- elf: dl-misc.os も $(rtld-early-cflags) でコンパイルする
- CVE-2024-33601、CVE-2024-33602: nscd: netgroup: addgetnetgrentX での 2 つのバッファの使用 (バグ 31680)
- CVE-2024-33600: nscd: notfound 応答後の NULL ポインタークラッシュを回避 (バグ 31678)
- CVE-2024-33600: nscd: addgetnetgrentX で欠落している not-found 応答を送信しない (バグ 31678)
- CVE-2024-33599: nscd: netgroup キャッシュのスタックベースのバッファオーバーフロー (バグ 31677)
- i386: SSE2 --disable-multi-arch 設定の ulp を更新
- nptl: ppoll_time64 をサポートしていないカーネルでの tst-cancel30 を修正
- login: 構造体 utmp、utmpx、lastlog の _TIME_BITS の独立性 (バグ 30701)
- login: 構造体 utmp、utmpx、lastlog のデフォルトサイズをチェック
- sparc: sparc32 ワードサイズの 64 ビットチェックを削除 (BZ 27574)

Tenable は、前述の記述ブロックを Fedora セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受けるglibcパッケージを更新してください。

参考資料

https://bodhi.fedoraproject.org/updates/FEDORA-2024-df41d584d0

プラグインの詳細

深刻度: High

ID: 209838

ファイル名: fedora_2024-df41d584d0.nasl

バージョン: 1.1

タイプ: local

エージェント: unix

公開日: 2024/10/28

更新日: 2024/10/28

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.7

CVSS v2

リスクファクター: High

基本値: 9

現状値: 6.7

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:P/A:P

CVSS スコアのソース: CVE-2024-33602

CVSS v3

リスクファクター: High

基本値: 8.6

現状値: 7.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:fedoraproject:fedora:glibc, cpe:/o:fedoraproject:fedora:39

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2024/10/11

脆弱性公開日: 2024/5/6

参照情報

CVE: CVE-2024-33599, CVE-2024-33600, CVE-2024-33601, CVE-2024-33602