Amazon Linux 2 : virtuoso-opensource (ALAS-2025-2755)

high Nessus プラグイン ID 216821

概要

リモートの Amazon Linux 2 ホストに、セキュリティ更新プログラムがありません。

説明

リモートホストにインストールされている virtuoso-opensource のバージョンは、7.2.14-2 より前です。したがって、ALAS2-2025-2755 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

openlink virtuoso-opensource v7.2.11 の chash_array コンポーネントの問題により、攻撃者が細工された SQL ステートメントを介して、サービス拒否 (DoS) を引き起こす可能性があります。(CVE-2024-57635)

openlink virtuoso-opensource v7.2.11 の itc_sample_row_check コンポーネントの問題により、攻撃者が細工された SQL ステートメントを介して、サービス拒否 (DoS) を引き起こす可能性があります。(CVE-2024-57636)

openlink virtuoso-opensource v7.2.11 の dfe_unit_gb_dependant コンポーネントの問題により、攻撃者が細工された SQL ステートメントを介して、サービス拒否 (DoS) を引き起こす可能性があります。(CVE-2024-57637)

openlink virtuoso-opensource v7.2.11 の dfe_body_copy コンポーネントの問題により、攻撃者が細工された SQL ステートメントを介して、サービス拒否 (DoS) を引き起こす可能性があります。(CVE-2024-57638)

openlink virtuoso-opensource v7.2.11 の dc_elt_size コンポーネントの問題により、攻撃者が細工された SQL ステートメントを介して、サービス拒否 (DoS) を引き起こす可能性があります。(CVE-2024-57639)

openlink virtuoso-opensource v7.2.11 の dc_add_int コンポーネントの問題により、攻撃者が細工された SQL ステートメントを介して、サービス拒否 (DoS) を引き起こす可能性があります。(CVE-2024-57640)

openlink virtuoso-opensource v7.2.11 の sqlexp コンポーネントの問題により、攻撃者が細工された SQL ステートメントを介して、サービス拒否 (DoS) を引き起こす可能性があります。(CVE-2024-57641)

openlink virtuoso-opensource v7.2.11 の dfe_inx_op_col_def_table コンポーネントの問題により、攻撃者が細工された SQL ステートメントを介して、サービス拒否 (DoS) を引き起こす可能性があります。(CVE-2024-57642)

openlink virtuoso-opensource v7.2.11 の box_deserialize_string コンポーネントの問題により、攻撃者が細工された SQL ステートメントを介して、サービス拒否 (DoS) を引き起こす可能性があります。(CVE-2024-57643)

openlink virtuoso-opensource v7.2.11 の itc_hash_compare コンポーネントの問題により、攻撃者が細工された SQL ステートメントを介して、サービス拒否 (DoS) を引き起こす可能性があります。(CVE-2024-57644)

openlink virtuoso-opensource v7.2.11 の qi_inst_state_free コンポーネントの問題により、攻撃者が細工された SQL ステートメントを介して、サービス拒否 (DoS) を引き起こす可能性があります。(CVE-2024-57645)

openlink virtuoso-opensource v7.2.11 の psiginfo コンポーネントの問題により、攻撃者が細工された SQL ステートメントを介して、サービス拒否 (DoS) を引き起こす可能性があります。(CVE-2024-57646)

openlink virtuoso-opensource v7.2.11 の row_insert_cast コンポーネントの問題により、攻撃者が細工された SQL ステートメントを介して、サービス拒否 (DoS) を引き起こす可能性があります。(CVE-2024-57647)

openlink virtuoso-opensource v7.2.11 の itc_sample_row_check コンポーネントの問題により、攻撃者が細工された SQL ステートメントを介して、サービス拒否 (DoS) を引き起こす可能性があります。(CVE-2024-57648)

openlink virtuoso-opensource v7.2.11 の qst_vec_set コンポーネントの問題により、攻撃者が細工された SQL ステートメントを介して、サービス拒否 (DoS) を引き起こす可能性があります。(CVE-2024-57649)

openlink virtuoso-opensource v7.2.11 の qi_inst_state_free コンポーネントの問題により、攻撃者が細工された SQL ステートメントを介して、サービス拒否 (DoS) を引き起こす可能性があります。(CVE-2024-57650)

openlink virtuoso-opensource v7.2.11 の jp_add コンポーネントの問題により、攻撃者が細工された SQL ステートメントを介して、サービス拒否 (DoS) を引き起こす可能性があります。(CVE-2024-57651)

openlink virtuoso-opensource v7.2.11 の numeric_to_dv コンポーネントの問題により、攻撃者が細工された SQL ステートメントを介して、サービス拒否 (DoS) を引き起こす可能性があります。(CVE-2024-57652)

openlink virtuoso-opensource v7.2.11 の qst_vec_set_copy コンポーネントの問題により、攻撃者が細工された SQL ステートメントを介して、サービス拒否 (DoS) を引き起こす可能性があります。(CVE-2024-57653)

openlink virtuoso-opensource v7.2.11 の qst_vec_get_int64 コンポーネントの問題により、攻撃者が細工された SQL ステートメントを介して、サービス拒否 (DoS) を引き起こす可能性があります。(CVE-2024-57654)

openlink virtuoso-opensource v7.2.11 の dfe_n_in_order コンポーネントの問題により、攻撃者が細工された SQL ステートメントを介して、サービス拒否 (DoS) を引き起こす可能性があります。(CVE-2024-57655)

openlink virtuoso-opensource v7.2.11 の sqlc_add_distinct_node コンポーネントの問題により、攻撃者が細工された SQL ステートメントを介して、サービス拒否 (DoS) を引き起こす可能性があります。(CVE-2024-57656)

openlink virtuoso-opensource v7.2.11 の sqlg_vec_upd コンポーネントの問題により、攻撃者が細工された SQL ステートメントを介して、サービス拒否 (DoS) を引き起こす可能性があります。(CVE-2024-57657)

openlink virtuoso-opensource v7.2.11 の sql_tree_hash_1 コンポーネントの問題により、攻撃者が細工された SQL ステートメントを介して、サービス拒否 (DoS) を引き起こす可能性があります。(CVE-2024-57658)

openlink virtuoso-opensource v7.2.11 の sqlg_parallel_ts_seq コンポーネントの問題により、攻撃者が細工された SQL ステートメントを介して、サービス拒否 (DoS) を引き起こす可能性があります。(CVE-2024-57659)

openlink virtuoso-opensource v7.2.11 の sqlo_expand_jts コンポーネントの問題により、攻撃者が細工された SQL ステートメントを介して、サービス拒否 (DoS) を引き起こす可能性があります。(CVE-2024-57660)

openlink virtuoso-opensource v7.2.11 の sqlo_df コンポーネントの問題により、攻撃者が細工された SQL ステートメントを介して、サービス拒否 (DoS) を引き起こす可能性があります。(CVE-2024-57661)

openlink virtuoso-opensource v7.2.11 の sqlg_hash_source コンポーネントの問題により、攻撃者が細工された SQL ステートメントを介して、サービス拒否 (DoS) を引き起こす可能性があります。(CVE-2024-57662)

openlink virtuoso-opensource v7.2.11 の sqlg_place_dpipes コンポーネントの問題により、攻撃者が細工された SQL ステートメントを介して、サービス拒否 (DoS) を引き起こす可能性があります。(CVE-2024-57663)

openlink virtuoso-opensource v7.2.11 の sqlg_group_node コンポーネントの問題により、攻撃者が細工された SQL ステートメントを介して、サービス拒否 (DoS) を引き起こす可能性があります。(CVE-2024-57664)

Tenable は、前述の記述ブロックをテスト済み製品のセキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

「yum update virtuoso-opensource」を実行してシステムを更新してください。

参考資料

https://alas.aws.amazon.com/AL2/ALAS-2025-2755.html

https://alas.aws.amazon.com/cve/html/CVE-2024-57635.html

https://alas.aws.amazon.com/cve/html/CVE-2024-57636.html

https://alas.aws.amazon.com/cve/html/CVE-2024-57637.html

https://alas.aws.amazon.com/cve/html/CVE-2024-57638.html

https://alas.aws.amazon.com/cve/html/CVE-2024-57639.html

https://alas.aws.amazon.com/cve/html/CVE-2024-57640.html

https://alas.aws.amazon.com/cve/html/CVE-2024-57641.html

https://alas.aws.amazon.com/cve/html/CVE-2024-57642.html

https://alas.aws.amazon.com/cve/html/CVE-2024-57643.html

https://alas.aws.amazon.com/cve/html/CVE-2024-57644.html

https://alas.aws.amazon.com/cve/html/CVE-2024-57645.html

https://alas.aws.amazon.com/cve/html/CVE-2024-57646.html

https://alas.aws.amazon.com/cve/html/CVE-2024-57647.html

https://alas.aws.amazon.com/cve/html/CVE-2024-57648.html

https://alas.aws.amazon.com/cve/html/CVE-2024-57649.html

https://alas.aws.amazon.com/cve/html/CVE-2024-57650.html

https://alas.aws.amazon.com/cve/html/CVE-2024-57651.html

https://alas.aws.amazon.com/cve/html/CVE-2024-57652.html

https://alas.aws.amazon.com/cve/html/CVE-2024-57653.html

https://alas.aws.amazon.com/cve/html/CVE-2024-57654.html

https://alas.aws.amazon.com/cve/html/CVE-2024-57655.html

https://alas.aws.amazon.com/cve/html/CVE-2024-57656.html

https://alas.aws.amazon.com/cve/html/CVE-2024-57657.html

https://alas.aws.amazon.com/cve/html/CVE-2024-57658.html

https://alas.aws.amazon.com/cve/html/CVE-2024-57659.html

https://alas.aws.amazon.com/cve/html/CVE-2024-57660.html

https://alas.aws.amazon.com/cve/html/CVE-2024-57661.html

https://alas.aws.amazon.com/cve/html/CVE-2024-57662.html

https://alas.aws.amazon.com/cve/html/CVE-2024-57663.html

https://alas.aws.amazon.com/cve/html/CVE-2024-57664.html

https://alas.aws.amazon.com/faqs.html

プラグインの詳細

深刻度: High

ID: 216821

ファイル名: al2_ALAS-2025-2755.nasl

バージョン: 1.1

タイプ: local

エージェント: unix

公開日: 2025/2/26

更新日: 2025/2/26

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.4

CVSS v2

リスクファクター: Medium

基本値: 4.3

現状値: 3.2

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:N/A:P

CVSS スコアのソース: CVE-2024-57664

CVSS v3

リスクファクター: High

基本値: 7.5

現状値: 6.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

CVSS スコアのソース: CVE-2024-57649

脆弱性情報

CPE: p-cpe:/a:amazon:linux:virtuoso-opensource-debuginfo, p-cpe:/a:amazon:linux:virtuoso-opensource, cpe:/o:amazon:linux:2

必要な KB アイテム: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2025/2/12

脆弱性公開日: 2025/1/14

参照情報

CVE: CVE-2024-57635, CVE-2024-57636, CVE-2024-57637, CVE-2024-57638, CVE-2024-57639, CVE-2024-57640, CVE-2024-57641, CVE-2024-57642, CVE-2024-57643, CVE-2024-57644, CVE-2024-57645, CVE-2024-57646, CVE-2024-57647, CVE-2024-57648, CVE-2024-57649, CVE-2024-57650, CVE-2024-57651, CVE-2024-57652, CVE-2024-57653, CVE-2024-57654, CVE-2024-57655, CVE-2024-57656, CVE-2024-57657, CVE-2024-57658, CVE-2024-57659, CVE-2024-57660, CVE-2024-57661, CVE-2024-57662, CVE-2024-57663, CVE-2024-57664

IAVA: 2025-A-0074