検出

MiracleLinux 7gnutls-3.3.26-9.el7AXSA:2017-2203:01

critical Nessus プラグイン ID 289308

Language:

概要

リモートのMiracleLinuxホストに1つ以上のセキュリティ更新プログラムがありません。

説明

リモートのMiracleLinux 7ホストには、AXSA:2017-2203:01アドバイザリに記載されているように、複数の脆弱性の影響を受けるパッケージがインストールされています。

 GnuTLS は、SSL、TLS、DTLS のプロトコルとそれらに関する技術を実装しているセキュアな通信ライブラリです。これは、簡単な C 言語アプリケーションプログラミングインターフェイスAPIを提供しています。これは、安全な通信プロトコルと API にアクセスして、X.509、PKCS #12、OpenPGP およびその他の必要な構造を解析し、書き込むことができます。
 CVE-2016-74443.4.15 ] より前の および 3.5.x より前の 3.5.4 GnuTLS の lib/x509/ocsp.c の gnutls_ocsp_resp_check_crt 関数が、OCSP 応答のシリアル長を検証しません。これにより、リモートの攻撃者が、 gnutls_malloc によって残される末尾のバイト。
 CVE-2017-5334 以前の 3.3.26 GnuTLSおよび 以前の GnuTLS の gnutls_x509_ext_import_proxy 関数の二重解放の脆弱性により 3.5.x 、リモートの攻撃者 3.5.8 が、 Proxy Certificate Information 拡張を持つ X.509 証明書の細工されたポリシー言語情報を介して、詳細不明な影響を及ぼすことが可能です。
 CVE-2017-53353.3.26 以前の GnuTLS および 3.5.x3.5.8 以前の GnuTLS の lib/opencdk/read-packet.c のストリーム読み取り関数により、リモートの攻撃者が、細工された OpenPGP を介してサービス拒否メモリ不足エラーおよびクラッシュを引き起こすことができます。発見しました。
 CVE-2017-53363.3.26 以前の GnuTLS および 3.5.x3.5.8 以前の GnuTLS の lib/opencdk/pubkey.c の cdk_pk_get_keyid 関数のスタックベースのバッファオーバーフローにより、リモートの攻撃者が、細工された OpenPGP 証明書を介して詳細不明の影響を及ぼすことが可能です。
 CVE-2017-53373.3.26 以前の GnuTLS および 3.5.x3.5.8 以前の GnuTLS の read_attribute 関数にある複数のヒープベースのバッファオーバーフローにより、リモートの攻撃者が細工された OpenPGP 証明書を介して詳細不明の影響を及ぼすことが可能です。
 CVE-2017-7507 GnuTLS バージョン 3.5.12 以前は、有効なコンテンツでステータス応答 TLS 拡張をデコードする際に、NULL ポインターデリファレンスに脆弱です。これにより、GnuTLS サーバーアプリケーションのクラッシュが発生する可能性があります。
 CVE-2017-7869 2017-02-20より前のGnuTLSには、opencdk/read-packet.cのcdk_pkt_read関数に関連する整数オーバーフローとヒープベースのバッファオーバーフローによって引き起こされる領域外書き込みがあります。この問題ベンダーの GNUTLS-SA-2017-3 レポートのサブセットは 3.5.10で修正されています。

Tenableは、前述の記述ブロックをMiracleLinuxセキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://tsn.miraclelinux.com/en/node/8643

プラグインの詳細

深刻度: Critical

ID: 289308

ファイル名: miracle_linux_AXSA-2017-2203.nasl

バージョン: 1.1

タイプ: local

公開日: 2026/1/16

更新日: 2026/1/16

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

Vendor

Vendor Severity: Moderate

CVSS v2

リスクファクター: High

基本値: 7.5

現状値: 5.5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2017-5337

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 8.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/o:miracle:linux:7, p-cpe:/a:miracle:linux:gnutls-devel, p-cpe:/a:miracle:linux:gnutls-utils, p-cpe:/a:miracle:linux:gnutls-c%2b%2b, p-cpe:/a:miracle:linux:gnutls-dane, p-cpe:/a:miracle:linux:gnutls

必要な KB アイテム: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2017/9/14

脆弱性公開日: 2016/9/2

参照情報

CVE: CVE-2016-7444, CVE-2017-5334, CVE-2017-5335, CVE-2017-5336, CVE-2017-5337, CVE-2017-7507, CVE-2017-7869