SuSE9 セキュリティ更新:glibc(YOU パッチ番号 12641)

high Nessus プラグイン ID 49758

言語:

概要

リモート SuSE 9 ホストにセキュリティ関連のパッチがありません。

説明

以下の複数のセキュリティ問題が修正されました。

- ld.so --verify モードでの任意のコードの実行の原因となる整数オーバーフローが、特別に細工されたバイナリによって誘発される可能性があります。(CVE-2010-0830)

- addmntent() 関数が改行文字を適切にエスケープしないので、ユーザーが /etc/mtab に任意の改行を挿入できてしまいます。追加の入力チェックを行わない setuid mount バイナリによって addmntent() が実行されると、カスタムのエントリを /etc/mtab に挿入できることになります。(CVE-2010-0296)

- strfmon() 関数の width 指定子処理に整数オーバーフローの脆弱性があり、strfmon() に渡される書式文字列を制御できる攻撃者によってトリガーされる可能性があります。(CVE-2008-1391)

また、1 つの非セキュリティ問題が修正されています - paranoia モードの nscd は、データベースのうちの 1 つが nscd 構成で無効になっている場合、定期的な再起動でクラッシュします。

また、タイムゾーン情報が、以下の変更を含む、2010l のレベルに更新されています。

- Africa/Cairo(エジプト)および Asia/Gaza(パレスチナ)は、ラマダンの月に夏時間を使用しません。これは、イスラム教徒が時間を 1 時間早めないようにするためです。
http://www.timeanddate.com/news/time/egypt-ends-dst-2010.html http://www.timeanddate.com/news/time/westbank-gaza-end-dst-2010.html

- Africa/Casablanca(モロッコ)は、5 月 2 日から 8 月 8 日までの期間、夏時間を使用します。モロッコでは、通常の夏時間を採用していますが、開始日と終了日は毎年異なります。
http://www.timeanddate.com/news/time/morocco-starts-dst-2010.html

- America/Argentina/San_Luis(アルゼンチン地域)の地方政府は、計画通りに DST 期間を廃止していません。その代りに、無期限に UTC-3 時間の使用を延長することに決定しました。
http://www.worldtimezone.com/dst_news/dst_news_argentina08.html

新しいゾーン:

- America/Bahia_Banderas(メキシコのナヤリット州)は、UCT-7 の代わりに、UCT-6 時間に従うことを宣言しました。これは、プエルト・バヤルタ近くの都市と同じ時間を設定するためです。
http://www.worldtimezone.com/dst_news/dst_news_mexico08
html

歴史的変化:

- DST 使用に関する Asia/Taipei の情報は、DST を使用した 1 年として 1980 年を挙げています。これは、政府のリソースによると、1979 年とみなす必要があります。

- Europe/Helsinki は、1983 年に中央ヨーロッパ標準 DST に切り替える前に、2 年間にわたり DST を試しました。
ただし、このデータベースは、1981 年と 1982 年の試行では、1983 年のときより 1 時間早めになっていたことに触れていません。

ミクロネシアにおけるスペル変更: - Pacific/Turk は 1989 年に Pacific/Chuuk に名前が変更されました。- Pacific/Ponape は 1984 年に Pacific/Pohnpei に名前が変更されました。

ソリューション

YOU パッチ番号 12641 を適用してください。

関連情報

http://support.novell.com/security/cve/CVE-2008-1391.html

http://support.novell.com/security/cve/CVE-2010-0296.html

http://support.novell.com/security/cve/CVE-2010-0830.html

プラグインの詳細

深刻度: High

ID: 49758

ファイル名: suse9_12641.nasl

バージョン: 1.5

タイプ: local

エージェント: unix

公開日: 2010/10/6

更新日: 2021/1/14

サポートされているセンサー: Nessus Agent

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: High

Base Score: 7.5

ベクトル: AV:N/AC:L/Au:N/C:P/I:P/A:P

脆弱性情報

CPE: cpe:/o:suse:suse_linux

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

パッチ公開日: 2010/8/25

参照情報

CVE: CVE-2008-1391, CVE-2010-0296, CVE-2010-0830

CWE: 189