RHEL 4 / 5 : xmlsec1 (RHSA-2011:0486)
high Nessus プラグイン ID 53646
Language:
概要
リモートの Red Hat ホストに xmlsec1 用のセキュリティ更新プログラムが適用されていません。説明
リモート Redhat Enterprise Linux 4 / 5 ホストに、RHSA-2011:0486 アドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。XML セキュリティライブラリは、XML デジタル署名および XML 暗号化標準を実装する、libxml2 および OpenSSL に基づく C ライブラリです。
XSLT 変換仕様が含まれている XML ファイルを xmlsec1 で処理する方法で、欠陥が見つかりました。特別に細工された XML ファイルによって、ファイルのデジタル署名の検証を実行している間に、xmlsec1 で任意のファイルが作成されることや上書きされる可能性があります。(CVE-2011-1425)
Red Hat は、この問題を報告していただいた Nicolas Grgoire 氏と Aleksey Sanin 氏に感謝の意を表します。
この更新では、以下のバグも修正されます:
* xmlsec1 は以前に、暗号プラグインライブラリを検索する際、多分相対パスを使用するライブラにアクセスしようとして、不適切な検索パスを使用しました。(BZ#558480、BZ#700467)
xmlsec1 のユーザーは、バックポートされたパッチが含まれるこれらの更新済みパッケージへアップグレードし、これらの問題を修正する必要があります。この更新が有効になるには、更新をインストールした後、xmlsec1 ライブラリを使用する実行中のアプリケーションすべてを、再起動する必要があります。
Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。
Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
RHEL xmlsec1 パッケージを、RHSA-2011:0486 のガイダンスに基づいて更新してください。参考資料
http://www.nessus.org/u?cd41b7b6
https://access.redhat.com/security/updates/classification/#moderate
https://bugzilla.redhat.com/show_bug.cgi?id=558480
https://bugzilla.redhat.com/show_bug.cgi?id=692133
プラグインの詳細
深刻度: High
ID: 53646
ファイル名: redhat-RHSA-2011-0486.nasl
バージョン: 1.23
タイプ: local
エージェント: unix
公開日: 2011/5/5
更新日: 2024/11/4
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 4.4
Vendor
Vendor Severity: Moderate
CVSS v2
リスクファクター: Medium
基本値: 5.1
現状値: 4
ベクトル: CVSS2#AV:N/AC:H/Au:N/C:P/I:P/A:P
CVSS スコアのソース: CVE-2011-1425
CVSS v3
リスクファクター: High
基本値: 7.5
現状値: 6.7
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:redhat:enterprise_linux:xmlsec1-nss-devel, p-cpe:/a:redhat:enterprise_linux:xmlsec1, cpe:/o:redhat:enterprise_linux:5, p-cpe:/a:redhat:enterprise_linux:xmlsec1-devel, p-cpe:/a:redhat:enterprise_linux:xmlsec1-nss, p-cpe:/a:redhat:enterprise_linux:xmlsec1-gnutls-devel, p-cpe:/a:redhat:enterprise_linux:xmlsec1-openssl-devel, cpe:/o:redhat:enterprise_linux:4, p-cpe:/a:redhat:enterprise_linux:xmlsec1-openssl, p-cpe:/a:redhat:enterprise_linux:xmlsec1-gnutls
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2011/5/4
脆弱性公開日: 2011/4/4
参照情報
CVE: CVE-2011-1425
BID: 47135
RHSA: 2011:0486