Ubuntu 8.10/9.04/9.10:dhcp3 の脆弱性(USN-803-2)
critical Nessus プラグイン ID 44326
Language:
概要
リモート Ubuntu ホストに 1 つ以上のセキュリティ関連パッチがありません。説明
USN-803-1 は、DHCP における脆弱性を修正しました。エラーが原因で、脆弱性を修正するパッチは、Ubuntu 8.10 およびそれ以降には正常に適用されませんでした。パッチの適用が不適切であっても、デフォルトのコンパイラオプションでサービス拒否に対する脆弱性を低減できます。さらに、Ubuntu 9.04 以上では、ユーザーは AppArmor dhclient3 プロファイルによっても保護されました。この更新により問題が修正されます。
dhcp3 に含まれている DHCP クライアントが、IPv4 dhcp サーバーからの応答を処理する際に、特定のオプションフィールドの長さを検証しないことが判明しました。悪意のある dhcp サーバーに接続されている、Ubuntu 6.06 LTS または 8.04 LTS をユーザーが実行していると、リモートの攻撃者がサービス拒否を引き起こしたり、一般には「dhcp」ユーザーであるプログラムを実行しているユーザーとして、任意のコードを実行したりする可能性があります。Ubuntu 8.10 または 9.04 を実行しているユーザーの場合、リモートの攻撃者だけが、DHCP クライアントでサービス拒否を実行できるはずです。Ubuntu 9.04 では、攻撃者も AppArmor dhclient3 プロファイルによって分離されます。
ソリューション
影響を受けるパッケージを更新してください。参考資料
プラグインの詳細
深刻度: Critical
ID: 44326
ファイル名: ubuntu_USN-803-2.nasl
バージョン: 1.13
タイプ: local
エージェント: unix
ファミリー: Ubuntu Local Security Checks
公開日: 2010/1/28
更新日: 2019/1/2
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: Critical
基本値: 10
現状値: 7.8
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
脆弱性情報
CPE: p-cpe:/a:canonical:ubuntu_linux:dhcp-client, p-cpe:/a:canonical:ubuntu_linux:dhcp3-client, p-cpe:/a:canonical:ubuntu_linux:dhcp3-client-udeb, p-cpe:/a:canonical:ubuntu_linux:dhcp3-common, p-cpe:/a:canonical:ubuntu_linux:dhcp3-dev, p-cpe:/a:canonical:ubuntu_linux:dhcp3-relay, p-cpe:/a:canonical:ubuntu_linux:dhcp3-server, p-cpe:/a:canonical:ubuntu_linux:dhcp3-server-ldap, cpe:/o:canonical:ubuntu_linux:8.10, cpe:/o:canonical:ubuntu_linux:9.04, cpe:/o:canonical:ubuntu_linux:9.10
必要な KB アイテム: Host/cpu, Host/Debian/dpkg-l, Host/Ubuntu, Host/Ubuntu/release
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2010/1/27
参照情報
CVE: CVE-2009-0692
BID: 35668