Debian dla-4114 : libnvpair3linux - セキュリティ更新
high Nessus プラグイン ID 233873
Language:
概要
リモートの Debian ホストにセキュリティ関連の更新プログラムがありません。説明
リモートの Debian 11 ホストには、dla-4114 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。------------------------------------------------------------------------- Debian LTS Advisory DLA-4114-1 [email protected] https://www.debian.org/lts/security/Daniel Leidert 2025 年 4 月 5 日 https://wiki.debian.org/LTS-------------------------------------------------------------------------
パッケージ : zfs-linux バージョン : 2.0.3-9+deb11u2 CVE ID : CVE-2013-20001 CVE-2023-49298 Debian バグ : 1056752 1059322
Linux 用の OpenZFS ファイルシステムである zfs-linux に複数の脆弱性が見つかりました。
CVE-2013-20001
sharenfs 機能によって NFS 共有が IPv6 アドレスにエクスポートされると、IPv6 アドレスデータの解析にサイレントエラーが発生し、すべてのユーザーにアクセスが許可されます。設定による IPv6 制限は適用されません。この修正により、sharenfs 属性のホスト部分が ipv6 Literal である場合にそれが認識され、変更なしでパススルーされます。
CVE-2023-49298
アプリケーションが誤ってファイルの内容をゼロ値のバイトに置き換えて、セキュリティメカニズムを無効にする可能性を回避するために、dnode とそのデータのダーティネスをチェックします。
Debian 11 bullseye においては、これらの問題はバージョン 2.0.3-9+deb11u2 で修正されました。
お使いの zfs-linux パッケージをアップグレードすることを推奨します。
zfs-linux の詳細なセキュリティステータスについては、そのセキュリティトラッカーページを参照してください:
https://security-tracker.debian.org/tracker/zfs-linux
Debian LTS セキュリティアドバイザリに関する詳細、これらの更新をシステムに適用する方法、およびよくある質問については、こちらを参照してください。https://wiki.debian.org/LTSAttachment:signature.ascDescription: これはデジタル署名されたメッセージ部分です
Tenable は、前述の説明ブロックを Debian セキュリティアドバイザリから直接抽出しました。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
libnvpair3linux パッケージをアップグレードしてください。参考資料
https://security-tracker.debian.org/tracker/source-package/zfs-linux
https://security-tracker.debian.org/tracker/CVE-2013-20001
プラグインの詳細
深刻度: High
ID: 233873
ファイル名: debian_DLA-4114.nasl
バージョン: 1.1
タイプ: local
エージェント: unix
ファミリー: Debian Local Security Checks
公開日: 2025/4/4
更新日: 2025/4/4
サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 4.4
CVSS v2
リスクファクター: Medium
基本値: 5
現状値: 3.9
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N
CVSS スコアのソース: CVE-2013-20001
CVSS v3
リスクファクター: High
基本値: 7.5
現状値: 6.7
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
CVSS スコアのソース: CVE-2023-49298
脆弱性情報
CPE: cpe:/o:debian:debian_linux:11.0, p-cpe:/a:debian:debian_linux:libnvpair3linux, p-cpe:/a:debian:debian_linux:libzfs4linux, p-cpe:/a:debian:debian_linux:python3-pyzfs, p-cpe:/a:debian:debian_linux:zfs-dkms, p-cpe:/a:debian:debian_linux:zfs-dracut, p-cpe:/a:debian:debian_linux:libzfslinux-dev, p-cpe:/a:debian:debian_linux:libzfsbootenv1linux, p-cpe:/a:debian:debian_linux:spl-dkms, p-cpe:/a:debian:debian_linux:zfs-test, p-cpe:/a:debian:debian_linux:spl, p-cpe:/a:debian:debian_linux:zfs-zed, p-cpe:/a:debian:debian_linux:pyzfs-doc, p-cpe:/a:debian:debian_linux:libzpool4linux, p-cpe:/a:debian:debian_linux:zfs-initramfs, p-cpe:/a:debian:debian_linux:zfsutils-linux, p-cpe:/a:debian:debian_linux:libuutil3linux, p-cpe:/a:debian:debian_linux:libpam-zfs
必要な KB アイテム: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2025/4/5
脆弱性公開日: 2021/2/12
参照情報
CVE: CVE-2013-20001, CVE-2023-49298