Amazon Linux 2023libsoup3、libsoup3-develALAS2023-2025-941

high Nessus プラグイン ID 234952

概要

リモートの Amazon Linux 2023 ホストに、セキュリティ更新プログラムがありません。

説明

したがって、ALAS2023-2025-941 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

libsoup に欠陥が見つかりました。パッケージは、skip_insight_whitespace() 関数からコンテンツを傍受する際に、ヒープバッファオーバーリードに脆弱です。Libsoupクライアントは、HTTPサーバーによって細工されたHTTP応答に応答して、領域外を1バイト読み取る可能性があります。CVE-2025-2784

libsoup に欠陥が見つかりました。libsoup append_param_quoted() 関数に、バッファアンダーリードを引き起こすオーバーフローのバグが含まれている可能性があります。CVE-2025-32050

libsoup に欠陥が見つかりました。libsoup soup_uri_decode_data_uri() 関数が、無効な形式のデータ URI を処理するときにクラッシュする可能性があります。この欠陥により、攻撃者はサービス拒否DoSを引き起こすことができます。CVE-2025-32051

libsoup に欠陥が見つかりました。sniff_unknown() 関数の脆弱性により、ヒープバッファオーバーリードが発生する可能性があります。CVE-2025-32052

libsoup に欠陥が見つかりました。sniff_feed_or_html() および skip_insignificant_space() 関数の脆弱性により、ヒープバッファオーバーリードが発生する可能性があります。CVE-2025-32053

libsoup で欠陥が見つかりました。soup_headers_parse_request() 関数が領域外読み取りに対して脆弱である可能性があります。この欠陥により、悪意のあるユーザーが特別に細工された HTTP リクエストを使用して HTTP サーバーをクラッシュさせる可能性があります。CVE-2025-32906

libsoup に欠陥が見つかりました。SoupContentSniffer は、sniff_mp4 関数の NULL ポインターデリファレンスに脆弱な可能性があります。HTTP サーバーにより、libsoup クライアントがクラッシュする可能性があります。CVE-2025-32909

soap_auth_digest_authenticate() が NULL ポインターデリファレンスに対して脆弱である libsoup に欠陥が見つかりました。この問題により、libsoup クライアントがクラッシュする可能性があります。CVE-2025-32910

libsoupparams GHashTable 値を介した soup-message-headers.c を通じた soup_message_headers_get_content_disposition() の二重解放CVE-2025-32911

SoupAuthDigestがNULLポインターデリファレンスに対して脆弱であるlibsoupに欠陥が見つかりました。HTTP サーバーにより、libsoup クライアントがクラッシュする可能性があります。CVE-2025-32912

soap_message_headers_get_content_disposition() 関数が NULL ポインターデリファレンスに対して脆弱である libsoup に欠陥が見つかりました。この欠陥により、悪意のある HTTP ピアが、この関数を使用する libsoup クライアントまたはサーバーをクラッシュさせる可能性があります。CVE-2025-32913

Tenable は、前述の記述ブロックをテスト済み製品のセキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

「dnf update libsoup3 --releasever 2023.7.20250428」を実行してシステムを更新してください。

参考資料

https://alas.aws.amazon.com/AL2023/ALAS-2025-941.html

https://alas.aws.amazon.com/cve/html/CVE-2025-2784.html

https://alas.aws.amazon.com/cve/html/CVE-2025-32050.html

https://alas.aws.amazon.com/cve/html/CVE-2025-32051.html

https://alas.aws.amazon.com/cve/html/CVE-2025-32052.html

https://alas.aws.amazon.com/cve/html/CVE-2025-32053.html

https://alas.aws.amazon.com/cve/html/CVE-2025-32906.html

https://alas.aws.amazon.com/cve/html/CVE-2025-32909.html

https://alas.aws.amazon.com/cve/html/CVE-2025-32910.html

https://alas.aws.amazon.com/cve/html/CVE-2025-32911.html

https://alas.aws.amazon.com/cve/html/CVE-2025-32912.html

https://alas.aws.amazon.com/cve/html/CVE-2025-32913.html

https://alas.aws.amazon.com/faqs.html

プラグインの詳細

深刻度: High

ID: 234952

ファイル名: al2023_ALAS2023-2025-941.nasl

バージョン: 1.1

タイプ: local

エージェント: unix

公開日: 2025/4/29

更新日: 2025/4/29

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

リスク情報

VPR

リスクファクター: High

スコア: 8.1

CVSS v2

リスクファクター: High

基本値: 7.8

現状値: 5.8

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C

CVSS スコアのソース: CVE-2025-32913

CVSS v3

リスクファクター: High

基本値: 7.5

現状値: 6.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:amazon:linux:libsoup3-debugsource, p-cpe:/a:amazon:linux:libsoup3-doc, p-cpe:/a:amazon:linux:libsoup3, p-cpe:/a:amazon:linux:libsoup3-debuginfo, p-cpe:/a:amazon:linux:libsoup3-devel, cpe:/o:amazon:linux:2023

必要な KB アイテム: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2025/4/23

脆弱性公開日: 2025/4/3

参照情報

CVE: CVE-2025-2784, CVE-2025-32050, CVE-2025-32051, CVE-2025-32052, CVE-2025-32053, CVE-2025-32906, CVE-2025-32909, CVE-2025-32910, CVE-2025-32911, CVE-2025-32912, CVE-2025-32913