Amazon Linux 2023libsoup3、libsoup3-develALAS2023-2025-941
high Nessus プラグイン ID 234952
Language:
概要
リモートの Amazon Linux 2023 ホストに、セキュリティ更新プログラムがありません。説明
したがって、ALAS2023-2025-941 のアドバイザリに記載されている複数の脆弱性の影響を受けます。libsoup に欠陥が見つかりました。パッケージは、skip_insight_whitespace() 関数からコンテンツを傍受する際に、ヒープバッファオーバーリードに脆弱です。Libsoupクライアントは、HTTPサーバーによって細工されたHTTP応答に応答して、領域外を1バイト読み取る可能性があります。CVE-2025-2784
libsoup に欠陥が見つかりました。libsoup append_param_quoted() 関数に、バッファアンダーリードを引き起こすオーバーフローのバグが含まれている可能性があります。CVE-2025-32050
libsoup に欠陥が見つかりました。libsoup soup_uri_decode_data_uri() 関数が、無効な形式のデータ URI を処理するときにクラッシュする可能性があります。この欠陥により、攻撃者はサービス拒否DoSを引き起こすことができます。CVE-2025-32051
libsoup に欠陥が見つかりました。sniff_unknown() 関数の脆弱性により、ヒープバッファオーバーリードが発生する可能性があります。CVE-2025-32052
libsoup に欠陥が見つかりました。sniff_feed_or_html() および skip_insignificant_space() 関数の脆弱性により、ヒープバッファオーバーリードが発生する可能性があります。CVE-2025-32053
libsoup で欠陥が見つかりました。soup_headers_parse_request() 関数が領域外読み取りに対して脆弱である可能性があります。この欠陥により、悪意のあるユーザーが特別に細工された HTTP リクエストを使用して HTTP サーバーをクラッシュさせる可能性があります。CVE-2025-32906
libsoup に欠陥が見つかりました。SoupContentSniffer は、sniff_mp4 関数の NULL ポインターデリファレンスに脆弱な可能性があります。HTTP サーバーにより、libsoup クライアントがクラッシュする可能性があります。CVE-2025-32909
soap_auth_digest_authenticate() が NULL ポインターデリファレンスに対して脆弱である libsoup に欠陥が見つかりました。この問題により、libsoup クライアントがクラッシュする可能性があります。CVE-2025-32910
libsoupparams GHashTable 値を介した soup-message-headers.c を通じた soup_message_headers_get_content_disposition() の二重解放CVE-2025-32911
SoupAuthDigestがNULLポインターデリファレンスに対して脆弱であるlibsoupに欠陥が見つかりました。HTTP サーバーにより、libsoup クライアントがクラッシュする可能性があります。CVE-2025-32912
soap_message_headers_get_content_disposition() 関数が NULL ポインターデリファレンスに対して脆弱である libsoup に欠陥が見つかりました。この欠陥により、悪意のある HTTP ピアが、この関数を使用する libsoup クライアントまたはサーバーをクラッシュさせる可能性があります。CVE-2025-32913
Tenable は、前述の記述ブロックをテスト済み製品のセキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
「dnf update libsoup3 --releasever 2023.7.20250428」を実行してシステムを更新してください。参考資料
https://alas.aws.amazon.com/AL2023/ALAS-2025-941.html
https://alas.aws.amazon.com/cve/html/CVE-2025-2784.html
https://alas.aws.amazon.com/cve/html/CVE-2025-32050.html
https://alas.aws.amazon.com/cve/html/CVE-2025-32051.html
https://alas.aws.amazon.com/cve/html/CVE-2025-32052.html
https://alas.aws.amazon.com/cve/html/CVE-2025-32053.html
https://alas.aws.amazon.com/cve/html/CVE-2025-32906.html
https://alas.aws.amazon.com/cve/html/CVE-2025-32909.html
https://alas.aws.amazon.com/cve/html/CVE-2025-32910.html
https://alas.aws.amazon.com/cve/html/CVE-2025-32911.html
https://alas.aws.amazon.com/cve/html/CVE-2025-32912.html
プラグインの詳細
深刻度: High
ID: 234952
ファイル名: al2023_ALAS2023-2025-941.nasl
バージョン: 1.1
タイプ: local
エージェント: unix
公開日: 2025/4/29
更新日: 2025/4/29
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
リスク情報
VPR
リスクファクター: High
スコア: 8.1
CVSS v2
リスクファクター: High
基本値: 7.8
現状値: 5.8
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C
CVSS スコアのソース: CVE-2025-32913
CVSS v3
リスクファクター: High
基本値: 7.5
現状値: 6.5
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:amazon:linux:libsoup3-debugsource, p-cpe:/a:amazon:linux:libsoup3-doc, p-cpe:/a:amazon:linux:libsoup3, p-cpe:/a:amazon:linux:libsoup3-debuginfo, p-cpe:/a:amazon:linux:libsoup3-devel, cpe:/o:amazon:linux:2023
必要な KB アイテム: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2025/4/23
脆弱性公開日: 2025/4/3
参照情報
CVE: CVE-2025-2784, CVE-2025-32050, CVE-2025-32051, CVE-2025-32052, CVE-2025-32053, CVE-2025-32906, CVE-2025-32909, CVE-2025-32910, CVE-2025-32911, CVE-2025-32912, CVE-2025-32913