検出

Mandriva Linux セキュリティアドバイザリ:networkmanager(MDVSA-2011:171)

medium Nessus プラグイン ID 61935

Language:

概要

リモート Mandriva Linux ホストには、1 つ以上のセキュリティ更新がありません。

説明

ntworkmanager においてセキュリティ問題が特定され、修正されました:

GNOME NetworkManager 0.8.6 より前のバージョンでは、PolicyKit の auth_admin 要素が適切に強制されておらず、それにより、ローカルのユーザーは不特定のベクトルを通じて、意図されたワイヤレスネットワーク共有の制限をバイパスすることが可能です(CVE-2011-2176)。

GNOME NetworkManager の 0.9.1、0.9.0、0.8.1 およびおそらくその他のバージョンでは、ifcfg-rh プラグインの settings/plugins/ifcfg-rh/shvar.c の svEscape 関数に不完全なブラックリストによる脆弱性が存在します。このため、ユーザーが新しい接続を作成できるように PolicyKit が構成されている場合、ローカルユーザーは、新しいネットワーク接続の名前に含まれ、ifcfg ファイルへの書き込み時に適切に処理されない改行文字を通じて、任意のコマンドを実行することが可能です(CVE-2011-3364)。

Upstream で修正されたバグの数が多いため、networkmanager をパッチする代わりに最新の 0.8.6.0 安定版(stable)が提供されています。さらに、networkmanager-applet、networkmanager-openconnect、networkmanager-openvpn、networkmanager-pptp、networkmanager-vpnc が最新の 0.8.6.0 安定版(stable)で提供されています。

提供されたパッケージは、これらのセキュリティ脆弱性を解決します。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

http://www.nessus.org/u?01c3d89f

プラグインの詳細

深刻度: Medium

ID: 61935

ファイル名: mandriva_MDVSA-2011-171.nasl

バージョン: 1.10

タイプ: local

公開日: 2012/9/6

更新日: 2021/1/6

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: Medium

基本値: 6.9

現状値: 5.1

ベクトル: CVSS2#AV:L/AC:M/Au:N/C:C/I:C/A:C

脆弱性情報

CPE: p-cpe:/a:mandriva:linux:lib64nm-glib-devel, p-cpe:/a:mandriva:linux:lib64nm-glib-vpn-devel, p-cpe:/a:mandriva:linux:lib64nm-glib-vpn1, p-cpe:/a:mandriva:linux:lib64nm-glib2, p-cpe:/a:mandriva:linux:lib64nm-util-devel, p-cpe:/a:mandriva:linux:lib64nm-util1, p-cpe:/a:mandriva:linux:libnm-glib-devel, p-cpe:/a:mandriva:linux:libnm-glib-vpn-devel, p-cpe:/a:mandriva:linux:libnm-glib-vpn1, p-cpe:/a:mandriva:linux:libnm-glib2, p-cpe:/a:mandriva:linux:libnm-util-devel, p-cpe:/a:mandriva:linux:libnm-util1, p-cpe:/a:mandriva:linux:networkmanager, p-cpe:/a:mandriva:linux:networkmanager-applet, p-cpe:/a:mandriva:linux:networkmanager-openconnect, p-cpe:/a:mandriva:linux:networkmanager-openvpn, p-cpe:/a:mandriva:linux:networkmanager-pptp, p-cpe:/a:mandriva:linux:networkmanager-vpnc, cpe:/o:mandriva:linux:2011

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2011/11/11

参照情報

CVE: CVE-2011-2176, CVE-2011-3364

BID: 48396, 49785

MDVSA: 2011:171