MiracleLinux 7sssd-1.15.2-50.el7.8AXSA:2017-2463:06
high Nessus プラグイン ID 289840
Language:
概要
リモートのMiracleLinuxホストにセキュリティ更新プログラムがありません。説明
リモートのMiracleLinux 7ホストには、AXSA:2017-2463:06アドバイザリに記載された脆弱性の影響を受けるパッケージがインストールされています。* sssdのsysdb_search_user_by_upn_res()関数が、ローカルキャッシュをクエリするときリクエストをサニタイズせず、インジェクションに対して脆弱であることがわかりました。集中管理型のログイン環境では、特定のユーザーに対してパスワードハッシュがローカルにキャッシュされていた場合、認証された攻撃者がこの欠陥を使用して、パスワードハッシュを取得する可能性があります。
CVE-2017-12173] この問題は Sumit Bose 氏Asianuxによって発見されました。
バグ修正:
* 以前は、SSSD の krb5 プロバイダーは、デフォルトビューをオーバーライドする ID ビューの変更された UID を反映しませんでした。
その結果、Kerberos資格情報のキャッシュは不適切な元のUIDで作成され、ユーザーのプロセスは変更されたUIDを見つけることができませんでした。この更新プログラムにより、SSSDのkrb5プロバイダーは適切なIDビュー名を識別して、IDオーバーライドデータを考慮するようになります。その結果、Kerberos 認証情報キャッシュが期待通りに UID で作成され、プロセスがこれを検索できるようになりました。BZ#1508972
*以前は、両方とも同じリストを使用していたため、ドメインリクエストのリフレッシュによってキャッシュリクエスト操作の途中でキャッシュリクエストドメインのリストが解放されることがありました。このため、SSSDでセグメンテーション違反が発生することがありました。この更新プログラムでは、SSSDは各キャッシュリクエストに対してキャッシュリクエストドメインのリストのコピーを使用します。その結果、このケースでは SSSD はクラッシュしなくなりました。BZ#1509177
* 以前は、Privilege Attribute CertificatePACレスポンダーへのデータ送信用にSSSDで指定された呼び出しにおいては、1つのプロセスからPACレスポンダーへのアクセスをシリアル化するためにミューテックスや他の手段が使用されていませんでした。マルチスレッドアプリケーションがPACレスポンダーを複数の並列リクエストでオーバーランさせた場合、一部のスレッドは適切な応答を受信しませんでした。このため、このスレッドは作業を再開するのに応答を5分待たなければなりませんでした。この更新プログラムでは、マルチスレッドアプリケーション用にPACレスポンダーソケットへのアクセスをシリアル化するようにミューテックスが設定されます。その結果、すべてのスレッドは適切でタイムリーな返信を取得するようになりました。BZ#1506682CVE-2017-12173
**予約**この候補は、新しいセキュリティの問題を発表するときに、それを使う組織または個人によって予約されています。候補が公表されるときに、この候補の詳細が提供されます。
Tenableは、前述の記述ブロックをMiracleLinuxセキュリティアドバイザリから直接抽出しています。
Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受けるパッケージを更新してください。参考資料
プラグインの詳細
深刻度: High
ID: 289840
ファイル名: miracle_linux_AXSA-2017-2463.nasl
バージョン: 1.1
タイプ: local
公開日: 2026/1/16
更新日: 2026/1/16
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
Vendor
Vendor Severity: Moderate
CVSS v2
リスクファクター: Medium
基本値: 4
現状値: 3
ベクトル: CVSS2#AV:N/AC:L/Au:S/C:P/I:N/A:N
CVSS スコアのソース: CVE-2017-12173
CVSS v3
リスクファクター: High
基本値: 8.8
現状値: 7.7
ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:miracle:linux:libsss_certmap, p-cpe:/a:miracle:linux:sssd-krb5-common, p-cpe:/a:miracle:linux:sssd-winbind-idmap, p-cpe:/a:miracle:linux:sssd-ad, p-cpe:/a:miracle:linux:sssd-ldap, p-cpe:/a:miracle:linux:sssd-libwbclient, p-cpe:/a:miracle:linux:sssd-proxy, p-cpe:/a:miracle:linux:libipa_hbac, p-cpe:/a:miracle:linux:sssd-kcm, p-cpe:/a:miracle:linux:sssd-common-pac, p-cpe:/a:miracle:linux:libsss_simpleifp, p-cpe:/a:miracle:linux:sssd, p-cpe:/a:miracle:linux:libsss_nss_idmap, p-cpe:/a:miracle:linux:sssd-krb5, p-cpe:/a:miracle:linux:libsss_idmap, p-cpe:/a:miracle:linux:python-libipa_hbac, p-cpe:/a:miracle:linux:sssd-polkit-rules, p-cpe:/a:miracle:linux:sssd-ipa, p-cpe:/a:miracle:linux:python-sss-murmur, cpe:/o:miracle:linux:7, p-cpe:/a:miracle:linux:python-libsss_nss_idmap, p-cpe:/a:miracle:linux:sssd-tools, p-cpe:/a:miracle:linux:sssd-client, p-cpe:/a:miracle:linux:libsss_sudo, p-cpe:/a:miracle:linux:python-sss, p-cpe:/a:miracle:linux:libsss_autofs, p-cpe:/a:miracle:linux:python-sssdconfig, p-cpe:/a:miracle:linux:sssd-common, p-cpe:/a:miracle:linux:sssd-dbus
必要な KB アイテム: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2017/12/11
脆弱性公開日: 2017/3/10
参照情報
CVE: CVE-2017-12173