検出

MiracleLinux 3krb5-1.6.1-31AXS3.3AXSA:2009-41:01

high Nessus プラグイン ID 284452

Language:

概要

リモートのMiracleLinuxホストに1つ以上のセキュリティ更新プログラムがありません。

説明

リモートの MiracleLinux 3 ホストには、AXSA:2009-41:01 アドバイザリで言及されているように、複数の脆弱性の影響を受けるパッケージがインストールされています。

 Kerberos はネットワーク認証システムです。krb5-server パッケージには、Kerberos 5 サーバーにインストールする必要があるプログラムが含まれています。Kerberos 5 サーバーをインストールしている場合は、このパッケージをインストールする必要があります。
 修正されたバグ:
 CVE-2009-0844 MIT Kerberos 5(別名 krb5)の 1.5 から 1.6.3 の SPNEGO 実装の get_input_token 関数により、リモートの攻撃者は、バッファオーバーリードを発生させる細工された長さ値を介して、サービス拒否(デーモンのクラッシュ)を引き起こしたり、機密情報を取得したりする可能性があります。
 CVE-2009-0845 MIT Kerberos 5別名 krb5 1.6.3の lib/gssapi/spnego/spnego_mech.c の spnego_gss_accept_sec_context 関数により、SPNEGO が使用される際に、リモートの攻撃者は、無効な URI を介してサービス拒否NULL ポインターデリファレンスおよびアプリケーションクラッシュを引き起こすことができます。 negTokenInit トークンの reqFlags フィールドの ContextFlags データ。
 CVE-2009-0846 MIT Kerberos 5(別名 krb5)の 1.6.4 より前の ASN.1 GeneralizedTime デコーダーの lib/krb5/asn.1/asn1_decode.c の asn1_decode_generaltime 関数により、リモートの攻撃者は、初期化されていないポインターの開放を発生させる無効な DER エンコーディングを伴うベクトルを介して、サービス拒否(デーモンのクラッシュ)を引き起こしたり、任意のコードを実行したりする可能性があります。

Tenableは、前述の記述ブロックをMiracleLinuxセキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://tsn.miraclelinux.com/en/node/678

プラグインの詳細

深刻度: High

ID: 284452

ファイル名: miracle_linux_AXSA-2009-41.nasl

バージョン: 1.1

タイプ: local

公開日: 2026/1/14

更新日: 2026/1/14

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.2

Vendor

Vendor Severity: High

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 7.8

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2009-0846

CVSS v3

リスクファクター: High

基本値: 7.5

現状値: 6.7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

CVSS スコアのソース: CVE-2009-0845

脆弱性情報

CPE: p-cpe:/a:miracle:linux:krb5-workstation, p-cpe:/a:miracle:linux:krb5-devel, p-cpe:/a:miracle:linux:krb5-server, p-cpe:/a:miracle:linux:krb5-libs, cpe:/o:miracle:linux:3

必要な KB アイテム: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2009/4/20

脆弱性公開日: 2009/3/8

参照情報

CVE: CVE-2009-0844, CVE-2009-0845, CVE-2009-0846