Debian dla-4056 : golang-glog-dev - セキュリティ更新

high Nessus プラグイン ID 216383

Language:

概要

リモートの Debian ホストにセキュリティ関連の更新プログラムがありません。

説明

リモートの Debian 11 ホストには、dla-4056 のアドバイザリに記載された脆弱性の影響を受けるパッケージがインストールされています。

- ------------------------------------------------------------------------- Debian LTS アドバイザリ DLA-4056-1 [email protected] https://www.debian.org/lts/security/Andrej Shadura 2025 年 2 月 17 日 https://wiki.debian.org/LTS
- -------------------------------------------------------------------------

パッケージ : golang-glog バージョン : 0.0~git20160126.23def4e-3+deb11u1 CVE ID : CVE-2024-45339

Go 用の glog パッケージで、以下の脆弱性が発見されました :

ログが広範囲に書き込み可能なディレクトリに書き込まれる場合 (デフォルト)、特権のない攻撃者が特権プロセスのログファイルパスを予測し、その場所に機密ファイルへのシンボリックリンクを事前に作成する可能性があります。その特権プロセスが実行されると、仕込まれたシンボリックリンクをたどって対象とする機密ファイルを上書きする可能性があります。これを修正するために、設定されたログファイルがすでに存在することが判明した場合、glog は現在、問題となっているプログラムを (ステータスコード 2 で) 終了させます。

Debian 11 bullseye において、この問題はバージョン 0.0~git20160126.23def4e-3+deb11u1 で修正されました。

以下の Go パッケージは、前述の問題を修正するために再ビルドされました。

docker.io 20.10.5+dfsg1-1+deb11u4 golang-grpc-gateway 1.6.4-2+deb11u1 mtail 3.0.0~rc43-3+deb11u1 prometheus-mongodb-exporter 1.0.0+git20180522.e755a44-3+deb11u1

これらのパッケージをアップグレードすることを推奨します。

golang-glog の詳細なセキュリティステータスについては、そのセキュリティトラッカーページを参照してください :
https://security-tracker.debian.org/tracker/golang-glog

Debian LTS セキュリティアドバイザリに関する詳細、これらの更新をシステムに適用する方法、およびよくある質問については、こちらを参照してください。https://wiki.debian.org/LTS

Tenable は、前述の説明ブロックを Debian セキュリティアドバイザリから直接抽出しました。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。