検出

MiracleLinux 3gnupg-1.4.5-18.AXS3AXSA:2013-679:01

critical Nessus プラグイン ID 288927

Language:

概要

リモートのMiracleLinuxホストに1つ以上のセキュリティ更新プログラムがありません。

説明

リモートの MiracleLinux 3 ホストには、AXSA:2013-679:01 アドバイザリで言及されているように、複数の脆弱性の影響を受けるパッケージがインストールされています。

 GnuPGGNU Privacy Guardは、データを暗号化し、デジタル署名を作成するためのGNUユーティリティです。GnuPG は高度なキー管理機能を備えており、 RFC2440で説明されている提案された OpenPGP インターネット標準に準拠しています。GnuPG は、特許取得されたアルゴリズムを使用しないため、PGP2 のどのバージョンとも互換性はありませんPGP2.x は、対称鍵暗号化に IDEA のみを使用します。これは、グローバルで特許取得されています。
 このリリースで修正されたセキュリティ問題
 CVE-2012-6085 以前の GnuPG および 1.4.x1.4.13 から 2.0.x2.0.19までの GnuPG の g10/import.c の read_block 関数により、鍵をインポートする際、リモートの攻撃者が、 OpenPGP パケットの細工された長さフィールドを発見しました。
 GnuPGCVE-2013-42421.4.14およびおそらく他の製品で使用されている、 より前の GnuPG および 1.5.32.0.x より前の Libgcrypt により、ローカルユーザーが、L3 キャッシュが関与するキャッシュサイドチャネル攻撃を通じて RSA 秘密鍵を取得できます別名フラッシュ+リロード。
 CVE-2013-4351 GnuPG 1.4.x、 2.0.x、 2.1.x は、すべてのビットがクリア使用不許可されたキーフラグサブパケットを、すべてのビットが設定すべての使用許可されているかのように扱い、これによって、リモートの攻撃者が、意図した暗号保護メカニズムをバイパスできることがあります。引き起こす可能性があります。
 CVE-2013-4402 GnuPG 1.4.x1.4.15 以前の および [ 2.0.x より前の 2.0.22 により、リモートの攻撃者は、細工された OpenPGP メッセージを通じて、サービス拒否無限再帰を引き起こすことができます。

Tenableは、前述の記述ブロックをMiracleLinuxセキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受けるgnupgパッケージを更新してください。

参考資料

https://tsn.miraclelinux.com/en/node/4364

プラグインの詳細

深刻度: Critical

ID: 288927

ファイル名: miracle_linux_AXSA-2013-679.nasl

バージョン: 1.1

タイプ: local

公開日: 2026/1/16

更新日: 2026/1/16

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.5

Vendor

Vendor Severity: High

CVSS v2

リスクファクター: Medium

基本値: 5.8

現状値: 4.5

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:N

CVSS スコアのソース: CVE-2013-4351

CVSS v3

リスクファクター: Critical

基本値: 10

現状値: 9

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

CVSS スコアのソース: CVE-2013-4242

脆弱性情報

CPE: cpe:/o:miracle:linux:3, p-cpe:/a:miracle:linux:gnupg

必要な KB アイテム: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2013/11/25

脆弱性公開日: 2013/1/2

参照情報

CVE: CVE-2012-6085, CVE-2013-4242, CVE-2013-4351, CVE-2013-4402