検出

FreeBSD:raptor/raptor2 -- RDF/XML ファイル解釈における XXE(60f81af3-7690-11e1-9423-00235a5f2c9a)

medium Nessus プラグイン ID 58472

Language:

概要

リモート FreeBSD ホストに 1 つ以上のセキュリティ関連の更新が見つかりません。

説明

Timothy D. Morgan 氏による報告:

2011 年 12 月、VSR は、複数のオープンソースオフィス製品(OpenOffice、LibreOffice、KOffice、および AbiWord など)に、カスタムエンティティ宣言が含まれる XML ファイルの安全でない解釈に起因する脆弱性があることを特定しました。さらに分析を進めることで、この脆弱性が、librdf およびこれらのオフィス製品が交代で使用する libraptor ライブラリによる外部エンティティの受け入れによって引き起こされることが明らかになりました。

これらの脆弱性により、オフィスアプリケーションのコンテキストで XML 外部エンティティ(XXE)攻撃が可能になる可能性があります。その結果、潜在的に悪意のある ODF ドキュメントを開いたときに、ユーザープライバシーの盗難または喪失が発生します。librdf または libraptor に依存する他のアプリケーションの場合、信頼できないソースからの RDF/XML コンテンツを受け入れることで、潜在的に深刻な結果が生じる可能性があります。ただし、その影響はコンテキストによって非常に多様です。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://seclists.org/fulldisclosure/2012/Mar/281

http://www.vsecurity.com/resources/advisory/20120324-1/

http://www.nessus.org/u?5069b9d1

プラグインの詳細

深刻度: Medium

ID: 58472

ファイル名: freebsd_pkg_60f81af3769011e1942300235a5f2c9a.nasl

バージョン: 1.8

タイプ: local

公開日: 2012/3/26

更新日: 2021/1/6

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.4

CVSS v2

リスクファクター: Medium

基本値: 4.3

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:N

脆弱性情報

CPE: p-cpe:/a:freebsd:freebsd:raptor, p-cpe:/a:freebsd:freebsd:raptor2, cpe:/o:freebsd:freebsd

必要な KB アイテム: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

パッチ公開日: 2012/3/25

脆弱性公開日: 2012/3/24

参照情報

CVE: CVE-2012-0037