Scientific Linux セキュリティ更新:SL5.x i386/x86_64 の glibc

medium Nessus プラグイン ID 66227

概要

リモート Scientific Linux ホストに 1 つ以上のセキュリティ更新がありません。

説明

getaddrinfo() が名前解決中に使用されるスタックメモリの量を制限しなかったことが見つかりました。攻撃者がコントロールしているホスト名または IP アドレスをアプリケーションに解決させることができる攻撃者は、アプリケーションにすべてのスタックメモリを消費させ、クラッシュする可能性があります。(CVE-2013-1914)

マルチバイト文字の入力を処理する正規表現マッチングルーティンで欠陥が見つかりました。アプリケーションが glibc 正規表現マッチングメカニズムを使用している場合、攻撃者が特別に細工された入力を行い、それが処理されたときにアプリケーションをクラッシュする可能性があります。(CVE-2013-0242)

この更新は以下のバグも修正します:

- 以前の更新による、math ライブラリの浮動小数点関数の正確性の改善は、これらの関数のパフォーマンスの回帰を引き起こしました。パフォーマンスの回帰が分析され、修正が適用されました。現在の正確性を保持したまま、受け入れ可能なレベルまでパフォーマンスペナルティを削減しました。

- ローカライゼーションコードにより開放された直後にメモリのロケーションにアクセスすることが可能であり、結果としてクラッシュが発生する可能性がありました。修正では、無効なメモリアクセスを回避することにより、アプリケーションがクラッシュしなくなりました。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

http://www.nessus.org/u?369f093d

プラグインの詳細

深刻度: Medium

ID: 66227

ファイル名: sl_20130424_glibc_on_SL5_x.nasl

バージョン: 1.6

タイプ: local

エージェント: unix

公開日: 2013/4/26

更新日: 2021/1/14

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.4

CVSS v2

リスクファクター: Medium

Base Score: 5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P

脆弱性情報

CPE: p-cpe:/a:fermilab:scientific_linux:glibc, p-cpe:/a:fermilab:scientific_linux:glibc-common, p-cpe:/a:fermilab:scientific_linux:glibc-debuginfo, p-cpe:/a:fermilab:scientific_linux:glibc-debuginfo-common, p-cpe:/a:fermilab:scientific_linux:glibc-devel, p-cpe:/a:fermilab:scientific_linux:glibc-headers, p-cpe:/a:fermilab:scientific_linux:glibc-utils, p-cpe:/a:fermilab:scientific_linux:nscd, x-cpe:/o:fermilab:scientific_linux

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

パッチ公開日: 2013/4/24

脆弱性公開日: 2013/2/8

参照情報

CVE: CVE-2013-0242, CVE-2013-1914