Debian dla-4376erlang - セキュリティ更新
high Nessus プラグイン ID 276650
Language:
概要
リモートの Debian ホストにセキュリティ関連の更新プログラムがありません。説明
リモートのDebian 11ホストには、dla-4376アドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。-------------------------------------------------- ----------------------- Debian LTS アドバイザリ DLA-4376-1 [email protected] https://www.debian.org/lts/security/Jochen Sprickerhof 2025 年 11 月 24 日 https://wiki.debian.org/LTS-------------------------------------------------------------------------
パッケージerlangバージョン 1:23.2.6+dfsg-1+deb11u3 CVE ID CVE-2025-4748 CVE-2025-48038 CVE-2025-48039 CVE-2025-48041 Debianバグ
同時、リアルタイム、分散機能性言語である Erlang で複数の脆弱性が修正されました。
CVE-2025-4748
Erlang OTPstdlib モジュールにおける制限されたディレクトリ「パストラバーサル」の脆弱性に対するパス名の制限が不適切なため、絶対パストラバーサルやファイル操作が可能になります。この脆弱性は、メモリオプションが渡されない限り、プログラムファイル lib/stdlib/src/zip.erl とプログラムルーチン zip:unzip/1、zip:unzip/2、zip:extract/1、zip:extract/2 に関連付けられています。
CVE-2025-48038、CVE-2025-48039、CVE-2025-48041
Erlang OTP sshssh_sftp モジュールの制限またはスロットリングなしのリソース割り当ての脆弱性により、過剰な割り当て、リソース漏洩、フラッドが発生する可能性があります。これらの脆弱性は、プログラムファイル lib/ssh/src/ssh_sftpd.erl に関連付けられています。
Debian 11 Bullseyeでは、これらの問題はバージョン 1:23.2.6+dfsg-1+deb11u3で修正されました。
お使いのerlangパッケージをアップグレードすることを推奨します。
erlang の詳細なセキュリティステータスについては、次のセキュリティトラッカーページを参照してください
https://security-tracker.debian.org/tracker/erlang
Debian LTS セキュリティアドバイザリに関する詳細、これらの更新をシステムに適用する方法、およびよくある質問については、こちらを参照してください。https://wiki.debian.org/LTSAttachment:signature.ascDescription: PGP 署名
Tenable は、前述の説明ブロックを Debian セキュリティアドバイザリから直接抽出しました。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
erlang パッケージをアップグレードしてください。参考資料
https://security-tracker.debian.org/tracker/source-package/erlang
https://security-tracker.debian.org/tracker/CVE-2025-4748
https://security-tracker.debian.org/tracker/CVE-2025-48038
https://security-tracker.debian.org/tracker/CVE-2025-48039
プラグインの詳細
深刻度: High
ID: 276650
ファイル名: debian_DLA-4376.nasl
バージョン: 1.1
タイプ: local
エージェント: unix
ファミリー: Debian Local Security Checks
公開日: 2025/11/24
更新日: 2025/11/24
サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.6
CVSS v2
リスクファクター: Low
基本値: 3.6
現状値: 2.7
ベクトル: CVSS2#AV:L/AC:L/Au:N/C:N/I:P/A:P
CVSS スコアのソース: CVE-2025-4748
CVSS v3
リスクファクター: Medium
基本値: 4.4
現状値: 3.9
ベクトル: CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:L
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
CVSS v4
リスクファクター: High
Base Score: 7.1
Threat Score: 4.9
Threat Vector: CVSS:4.0/E:U
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N
CVSS スコアのソース: CVE-2025-48041
脆弱性情報
CPE: p-cpe:/a:debian:debian_linux:erlang-mode, cpe:/o:debian:debian_linux:11.0, p-cpe:/a:debian:debian_linux:erlang-runtime-tools, p-cpe:/a:debian:debian_linux:erlang-ssh, p-cpe:/a:debian:debian_linux:erlang-jinterface, p-cpe:/a:debian:debian_linux:erlang-erl-docgen, p-cpe:/a:debian:debian_linux:erlang, p-cpe:/a:debian:debian_linux:erlang-manpages, p-cpe:/a:debian:debian_linux:erlang-os-mon, p-cpe:/a:debian:debian_linux:erlang-nox, p-cpe:/a:debian:debian_linux:erlang-common-test, p-cpe:/a:debian:debian_linux:erlang-reltool, p-cpe:/a:debian:debian_linux:erlang-crypto, p-cpe:/a:debian:debian_linux:erlang-observer, p-cpe:/a:debian:debian_linux:erlang-edoc, p-cpe:/a:debian:debian_linux:erlang-x11, p-cpe:/a:debian:debian_linux:erlang-base, p-cpe:/a:debian:debian_linux:erlang-asn1, p-cpe:/a:debian:debian_linux:erlang-snmp, p-cpe:/a:debian:debian_linux:erlang-base-hipe, p-cpe:/a:debian:debian_linux:erlang-parsetools, p-cpe:/a:debian:debian_linux:erlang-xmerl, p-cpe:/a:debian:debian_linux:erlang-et, p-cpe:/a:debian:debian_linux:erlang-eunit, p-cpe:/a:debian:debian_linux:erlang-odbc, p-cpe:/a:debian:debian_linux:erlang-wx, p-cpe:/a:debian:debian_linux:erlang-examples, p-cpe:/a:debian:debian_linux:erlang-doc, p-cpe:/a:debian:debian_linux:erlang-ftp, p-cpe:/a:debian:debian_linux:erlang-eldap, p-cpe:/a:debian:debian_linux:erlang-mnesia, p-cpe:/a:debian:debian_linux:erlang-megaco, p-cpe:/a:debian:debian_linux:erlang-inets, p-cpe:/a:debian:debian_linux:erlang-src, p-cpe:/a:debian:debian_linux:erlang-tftp, p-cpe:/a:debian:debian_linux:erlang-dialyzer, p-cpe:/a:debian:debian_linux:erlang-tools, p-cpe:/a:debian:debian_linux:erlang-diameter, p-cpe:/a:debian:debian_linux:erlang-syntax-tools, p-cpe:/a:debian:debian_linux:erlang-public-key, p-cpe:/a:debian:debian_linux:erlang-ssl, p-cpe:/a:debian:debian_linux:erlang-dev, p-cpe:/a:debian:debian_linux:erlang-debugger
必要な KB アイテム: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2025/11/24
脆弱性公開日: 2025/6/16
参照情報
CVE: CVE-2025-4748, CVE-2025-48038, CVE-2025-48039, CVE-2025-48041
IAVA: 2025-A-0438-S, 2025-A-0872