Amazon Linux 2 : webkitgtk4 (ALAS-2025-2970)
medium Nessus プラグイン ID 252299
Language:
概要
リモートの Amazon Linux 2 ホストに、セキュリティ更新プログラムがありません。説明
リモートホストにインストールされている webkitgtk4 のバージョンは、2.48.5-1 より前です。したがって、ALAS2-2025-2970 のアドバイザリに記載されている複数の脆弱性の影響を受けます。状態管理を改善することで、クッキー管理の問題に対処しました。この問題は、watchOS 11、macOS Sequoia 15、Safari 18、visionOS 2、iOS 18 および iPadOS 18、tvOS 18 で修正されています。悪意のある Web サイトでデータが、クロスオリジンで抽出される可能性があります。(CVE-2024-54467)
この問題は、チェックを改善することで対処されました。この問題は、Safari 18.3、visionOS 2.3、iOS 18.3 、iPadOS 18.3、macOS Sequoia 15.3、watchOS 11.3、tvOS 18.3で修正されています。悪質な細工されたウェブコンテンツを処理すると、メモリ破損が発生する可能性があります。(CVE-2025-24189)
この問題は、浮動小数点の処理を改善することで対処されました。この問題は、tvOS 18.4、Safari 18.4、iPadOS 17.7.6、iOS 18.4 および iPadOS 18.4、macOS Sequoia 15.4 で修正されています。型の取り違え (Type Confusion) の問題により、メモリ破損が引き起こされる可能性があります。(CVE-2025-24213)
メモリ処理を改善することで、この問題に対処しました。この問題は、watchOS 11.5、tvOS 18.5、iOS 18.5 および iPadOS 18.5、macOS Sequoia 15.5、visionOS 2.5、Safari 18.5 で修正されています。悪質な細工されたウェブコンテンツを処理すると、メモリ破損が発生する可能性があります。(CVE-2025-24223)
メモリ処理を改善することで、この問題に対処しました。この問題は、Safari 18.6、macOS Sequoia 15.6、iOS 18.6 、iPadOS 18.6、tvOS 18.6、watchOS 11.6、visionOS 2.6で修正されています。悪質な細工されたウェブコンテンツを処理すると、メモリ破損が発生する可能性があります。(CVE-2025-31273)
メモリ処理を改善することで、この問題に対処しました。この問題は、Safari 18.6、iPadOS 17.7.9、watchOS 11.6、visionOS 2.6、iOS 18.6 、iPadOS 18.6、macOS Sequoia 15.6、tvOS 18.6で修正されています。悪質な細工されたウェブコンテンツを処理すると、メモリ破損が発生する可能性があります。(CVE-2025-31278)
メモリ処理を改善することで、この問題に対処しました。この問題は、Safari 18.6、macOS Sequoia 15.6、iPadOS 17.7.9、iOS 18.6 、iPadOS 18.6、tvOS 18.6、watchOS 11.6、visionOS 2.6で修正されています。ウェブコンテンツを処理すると、サービス拒否が引き起こされる可能性があります。(CVE-2025-43211)
メモリ処理を改善することで、この問題に対処しました。この問題は、Safari 18.6、macOS Sequoia 15.6、iOS 18.6 、iPadOS 18.6、tvOS 18.6、watchOS 11.6、visionOS 2.6で修正されています。悪意を持って細工されたウェブコンテンツを処理すると、予期しない Safari のクラッシュが発生する可能性があります。(CVE-2025-43212)
メモリ管理を改善することで、メモリ解放後使用 (Use After Free) の問題に対処しました。この問題は、Safari 18.6、watchOS 11.6、iOS 18.6 およびiPadOS 18.6、iPadOS 17.7.9、tvOS 18.6、macOS Sequoia 15.6、visionOS 2.6で修正されています。
悪意を持って細工されたウェブコンテンツを処理すると、予期しない Safari のクラッシュが発生する可能性があります。(CVE-2025-43216)
状態管理を改善することで、この問題に対処しました。この問題は、Safari 18.6、iOS 18.6 、iPadOS 18.6、macOS Sequoia 15.6、tvOS 18.6、watchOS 11.6、visionOS 2.6で修正されています。悪意を持って細工されたウェブコンテンツを処理すると、ユーザーの秘密情報が漏洩する可能性があります。(CVE-2025-43227)
この問題は UI の改善により解決されました。この問題は、iOS 18.6 および iPadOS 18.6、Safari 18. 6 で修正されています。
悪意のあるウェブサイトにアクセスすると、アドレスバーのなりすましにつながる可能性があります。(CVE-2025-43228)
チェックを改善することで、ロジックの問題に対処しました。この問題は、macOS Sequoia 15.6、Safari 18. 6 で修正されています。
ダウンロード元が不適切に関連付けられている可能性があります。(CVE-2025-43240)
改善された入力検証で領域外読み取りが対処されました。この問題は、Safari 18.6、watchOS 11.6、visionOS 2.6、iOS 18.6 、iPadOS 18.6、macOS Sequoia 15.6、tvOS 18.6で修正されています。悪意を持って細工されたウェブコンテンツを処理すると、アプリの内部状態が漏洩する可能性があります。(CVE-2025-43265)
Tenable は、前述の記述ブロックをテスト済み製品のセキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
「yum update webkitgtk4」を実行してシステムを更新してください。参考資料
https://alas.aws.amazon.com//AL2/ALAS2-2025-2970.html
https://alas.aws.amazon.com/faqs.html
https://explore.alas.aws.amazon.com/CVE-2024-54467.html
https://explore.alas.aws.amazon.com/CVE-2025-24189.html
https://explore.alas.aws.amazon.com/CVE-2025-24213.html
https://explore.alas.aws.amazon.com/CVE-2025-24223.html
https://explore.alas.aws.amazon.com/CVE-2025-31273.html
https://explore.alas.aws.amazon.com/CVE-2025-31278.html
https://explore.alas.aws.amazon.com/CVE-2025-43211.html
https://explore.alas.aws.amazon.com/CVE-2025-43212.html
https://explore.alas.aws.amazon.com/CVE-2025-43216.html
https://explore.alas.aws.amazon.com/CVE-2025-43227.html
https://explore.alas.aws.amazon.com/CVE-2025-43228.html
プラグインの詳細
深刻度: Medium
ID: 252299
ファイル名: al2_ALAS-2025-2970.nasl
バージョン: 1.1
タイプ: local
エージェント: unix
公開日: 2025/8/19
更新日: 2025/8/19
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: High
基本値: 7.8
現状値: 5.8
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:N/A:N
CVSS スコアのソース: CVE-2024-54467
CVSS v3
リスクファクター: Medium
基本値: 6.5
現状値: 5.7
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: cpe:/o:amazon:linux:2, p-cpe:/a:amazon:linux:webkitgtk4-devel, p-cpe:/a:amazon:linux:webkitgtk4-jsc, p-cpe:/a:amazon:linux:webkitgtk4-jsc-devel, p-cpe:/a:amazon:linux:webkitgtk4, p-cpe:/a:amazon:linux:webkitgtk4-debuginfo
必要な KB アイテム: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2025/8/12
脆弱性公開日: 2023/7/18
参照情報
CVE: CVE-2024-54467, CVE-2025-24189, CVE-2025-24213, CVE-2025-24223, CVE-2025-31273, CVE-2025-31278, CVE-2025-43211, CVE-2025-43212, CVE-2025-43216, CVE-2025-43227, CVE-2025-43228, CVE-2025-43240, CVE-2025-43265