検出

MiracleLinux 3 : net-snmp-5.3.1-19.1.1AXS3 (AXSA:2008-81:01)

critical Nessus プラグイン ID 284272

Language:

概要

リモート MiracleLinux ホストに 1 つ以上のセキュリティ更新がありません。

説明

リモート MiracleLinux 3 ホストに、AXSA:2008-81:01 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

 Simple Network Management Protocol(SNMP)は、ネットワーク管理に使用されるプロトコルです。
 CVE 2008-2292 Perl 用の SNMP.xs で使用されている Net-SNMP 5.1.4、5.2.4、および 5.4.1 の snmp_get における __snprint_value 関数には、バッファオーバーフローの脆弱性が存在します。これにより、属性値ペア (AVP) 内の大きな OCTETSTRING を介して、リモートの攻撃者がサービス拒否 (クラッシュ) を引き起こすか、または任意のコードを実行する可能性があります。
 CVE 2008-0960 (1) Net-SNMP 5.2.4.1 より前の 5.2.x、5.3.2.1 より前の 5.3.x、および 5.4.1.1 より前の 5.4.x、(2) UCD-SNMP、(3) eCos、(4) Juniper Session and Resource Control (SRC) C シリーズ 1.0.0 〜 2.0.0、(5) NetApp (別名 Network Appliance) Data ONTAP 7.3RC1 および 7.3RC2、(6) SNMP Research 16.2 より前、(7) 複数の Cisco IOS、CatOS、ACE、および Nexus 製品、ならびに (8) Ingate Firewall 3.1.0 以降および SIParator 3.1.0 以降における SNMPv3 HMAC 検証は、クライアントが HMAC の長さを指定することに依存しています。これにより、最初の 1 バイトのみをチェックする長さの値「1」を介して、リモートの攻撃者が SNMP 認証をバイパスすることが容易になる可能性があります。

Tenable は、前述の記述ブロックを MiracleLinux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://tsn.miraclelinux.com/en/node/178

プラグインの詳細

深刻度: Critical

ID: 284272

ファイル名: miracle_linux_AXSA-2008-81.nasl

バージョン: 1.2

タイプ: local

公開日: 2026/1/14

更新日: 2026/2/12

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: High

スコア: 7.4

Vendor

Vendor Severity: High

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 8.3

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2008-0960

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 9.1

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:F/RL:O/RC:C

CVSS スコアのソース: CVE-2008-2292

脆弱性情報

CPE: p-cpe:/a:miracle:linux:net-snmp-libs, cpe:/o:miracle:linux:3, p-cpe:/a:miracle:linux:net-snmp-utils, p-cpe:/a:miracle:linux:net-snmp-perl, p-cpe:/a:miracle:linux:net-snmp-devel, p-cpe:/a:miracle:linux:net-snmp

必要な KB アイテム: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2008/8/26

脆弱性公開日: 2008/5/10

エクスプロイト可能

CANVAS (D2ExploitPack)

Core Impact

参照情報

CVE: CVE-2008-0960, CVE-2008-2292

IAVT: 2008-T-0026