Ubuntu 14.04 LTS/ 16.04 LTSKDE PIM の脆弱性USN-7729-1

medium Nessus プラグイン ID 261427

概要

リモート Ubuntu ホストに 1 つ以上のセキュリティ更新がありません。

説明

リモートの Ubuntu 14.04 LTS / 16.04 LTS ホストには、USN-7729-1 のアドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

Damian Poddebniak、Christian Dresen、Jens Mller、Fabian Ising、Sebastian Schinzel、Simon Friedberger、Juraj Somorovsky、Jrg Schwenkの各氏は、KDE PIMのKMailアプリケーションが、外部コンテンツを取得するときにS/MIMEで暗号化されたメールの平文を漏えいする可能性があることを発見しました。可能性があります。特定の構成下において、ユーザーが騙されて特別に細工された電子メールを開くと、攻撃者がこの問題を利用して、暗号化された電子メールの平文を取得する可能性があります。この更新は、KMail が外部コンテンツを自動的にロードするのを防ぐことで、 の問題を緩和します。CVE-2017-17689

Jens Mller、Marcus Brinkmann、Damian Poddebniak、Sebastian Schinzel、Jrg Schwenkの各氏は、KDE PIMのKMailアプリケーションがS/MIMEまたはPGPで暗号化されたメールのプレーンテキストを漏えいさせる可能性があることを発見しました。ユーザーが騙されて、特別に細工された電子メールに返信した場合、攻撃者がこの問題を利用し、暗号化された電子メールの平文を取得する可能性があります。CVE-2019-10732

KDE PIM の KMail アプリケーションが、ユーザーの知らないうちにメールにファイルを添付される可能性があることが発見されました。ユーザーが騙されて、特別に細工された mailto リンクで作成されたメールを送信する場合、攻撃者がこの問題を利用して機密ファイルを取得する可能性があります。この更新は、この方法でファイルが添付された場合にユーザーに警告を表示することで、 の問題を緩和します。CVE-2020-11880

KDE PIM の Account Wizard アプリケーションが、特定のメールサーバー構成を取得する際に、HTTPS ではなく HTTP を使用することが判明しました。攻撃者がこの問題を利用して、メールクライアントに攻撃者が制御するメールサーバーを使用させる可能性があります。この問題の影響を受けるのは、Ubuntu 16.04 LTS のみです。
(CVE-2024-50624)

Tenable は、前述の説明ブロックを Ubuntu セキュリティアドバイザリからすでに直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://ubuntu.com/security/notices/USN-7729-1

プラグインの詳細

深刻度: Medium

ID: 261427

ファイル名: ubuntu_USN-7729-1.nasl

バージョン: 1.1

タイプ: local

エージェント: unix

公開日: 2025/9/5

更新日: 2025/9/5

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.4

CVSS v2

リスクファクター: Medium

基本値: 6.4

現状値: 5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:N

CVSS スコアのソース: CVE-2020-11880

CVSS v3

リスクファクター: Medium

基本値: 6.5

現状値: 5.9

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: cpe:/o:canonical:ubuntu_linux:16.04:-:lts, p-cpe:/a:canonical:ubuntu_linux:akregator, p-cpe:/a:canonical:ubuntu_linux:kaddressbook, p-cpe:/a:canonical:ubuntu_linux:kalarm, p-cpe:/a:canonical:ubuntu_linux:kdepim-kresources, p-cpe:/a:canonical:ubuntu_linux:kleopatra, p-cpe:/a:canonical:ubuntu_linux:kontact, p-cpe:/a:canonical:ubuntu_linux:korganizer, p-cpe:/a:canonical:ubuntu_linux:ktimetracker, p-cpe:/a:canonical:ubuntu_linux:accountwizard, p-cpe:/a:canonical:ubuntu_linux:akonadiconsole, p-cpe:/a:canonical:ubuntu_linux:kdepim-mobile, p-cpe:/a:canonical:ubuntu_linux:korganizer-mobile, p-cpe:/a:canonical:ubuntu_linux:libcalendarsupport4, p-cpe:/a:canonical:ubuntu_linux:libcomposereditorng4, p-cpe:/a:canonical:ubuntu_linux:libeventviews4, p-cpe:/a:canonical:ubuntu_linux:libincidenceeditorsng4, p-cpe:/a:canonical:ubuntu_linux:libkdepimdbusinterfaces4, p-cpe:/a:canonical:ubuntu_linux:libkf5calendarsupport5, p-cpe:/a:canonical:ubuntu_linux:libkf5followupreminder5, p-cpe:/a:canonical:ubuntu_linux:libkf5gravatar5, p-cpe:/a:canonical:ubuntu_linux:libkf5incidenceeditorsng5, p-cpe:/a:canonical:ubuntu_linux:libkf5kdgantt2-5, p-cpe:/a:canonical:ubuntu_linux:libkf5kmanagesieve5, p-cpe:/a:canonical:ubuntu_linux:libkf5ksieve5, p-cpe:/a:canonical:ubuntu_linux:libkf5ksieveui5, p-cpe:/a:canonical:ubuntu_linux:libkf5pimcommon5, p-cpe:/a:canonical:ubuntu_linux:libkf5sendlater5, p-cpe:/a:canonical:ubuntu_linux:libkf5templateparser5, p-cpe:/a:canonical:ubuntu_linux:libmailcommon4, p-cpe:/a:canonical:ubuntu_linux:libmailimporter4, p-cpe:/a:canonical:ubuntu_linux:libmessagecomposer4, p-cpe:/a:canonical:ubuntu_linux:libmessageviewer4, p-cpe:/a:canonical:ubuntu_linux:libnoteshared4, p-cpe:/a:canonical:ubuntu_linux:libpimcommon4, p-cpe:/a:canonical:ubuntu_linux:storageservicemanager, p-cpe:/a:canonical:ubuntu_linux:kdepim, p-cpe:/a:canonical:ubuntu_linux:kdepim-dev, p-cpe:/a:canonical:ubuntu_linux:kjots, p-cpe:/a:canonical:ubuntu_linux:kmail, p-cpe:/a:canonical:ubuntu_linux:knode, p-cpe:/a:canonical:ubuntu_linux:knotes, p-cpe:/a:canonical:ubuntu_linux:konsolekalendar, p-cpe:/a:canonical:ubuntu_linux:ktnef, p-cpe:/a:canonical:ubuntu_linux:libkdepim4, p-cpe:/a:canonical:ubuntu_linux:libkleo4, p-cpe:/a:canonical:ubuntu_linux:libkpgp4, p-cpe:/a:canonical:ubuntu_linux:libksieve4, cpe:/o:canonical:ubuntu_linux:14.04:-:lts, p-cpe:/a:canonical:ubuntu_linux:blogilo, p-cpe:/a:canonical:ubuntu_linux:kaddressbook-mobile, p-cpe:/a:canonical:ubuntu_linux:kde-config-pimactivity, p-cpe:/a:canonical:ubuntu_linux:kdepim-mobileui-data, p-cpe:/a:canonical:ubuntu_linux:kdepim-themeeditors, p-cpe:/a:canonical:ubuntu_linux:kmail-mobile, p-cpe:/a:canonical:ubuntu_linux:libgrammar4, p-cpe:/a:canonical:ubuntu_linux:libkdepimmobileui4, p-cpe:/a:canonical:ubuntu_linux:libkdgantt2-0, p-cpe:/a:canonical:ubuntu_linux:libkf5composereditorng5, p-cpe:/a:canonical:ubuntu_linux:libkf5eventviews5, p-cpe:/a:canonical:ubuntu_linux:libkf5kdepimdbusinterfaces5, p-cpe:/a:canonical:ubuntu_linux:libkf5libkdepim5, p-cpe:/a:canonical:ubuntu_linux:libkf5libkleo5, p-cpe:/a:canonical:ubuntu_linux:libkf5mailcommon5, p-cpe:/a:canonical:ubuntu_linux:libkf5mailimporter5, p-cpe:/a:canonical:ubuntu_linux:libkf5messagecomposer5, p-cpe:/a:canonical:ubuntu_linux:libkf5messagecore5, p-cpe:/a:canonical:ubuntu_linux:libkf5messagelist5, p-cpe:/a:canonical:ubuntu_linux:libkf5messageviewer5, p-cpe:/a:canonical:ubuntu_linux:libkf5noteshared5, p-cpe:/a:canonical:ubuntu_linux:libkmanagesieve4, p-cpe:/a:canonical:ubuntu_linux:libksieveui4, p-cpe:/a:canonical:ubuntu_linux:libmessagecore4, p-cpe:/a:canonical:ubuntu_linux:libmessagelist4, p-cpe:/a:canonical:ubuntu_linux:libpimactivity4, p-cpe:/a:canonical:ubuntu_linux:libsendlater4, p-cpe:/a:canonical:ubuntu_linux:libtemplateparser4, p-cpe:/a:canonical:ubuntu_linux:notes-mobile, p-cpe:/a:canonical:ubuntu_linux:tasks-mobile

必要な KB アイテム: Host/cpu, Host/Debian/dpkg-l, Host/Ubuntu, Host/Ubuntu/release

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2025/9/2

脆弱性公開日: 2018/5/14

参照情報

CVE: CVE-2017-17689, CVE-2019-10732, CVE-2020-11880, CVE-2024-50624

USN: 7729-1